Linux进阶——系统安全,重要文件,加固系统的相关配置_安全加固需要配置的文件有如下几个

于 2025-01-18 02:08:47 发布
阅读量924 收藏 29
点赞数 9
文章标签: 安全 linux 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2501_90254128/article/details/145217833
版权

Linux系统安全

一、重要文件

/etc/passwd                #记录本地用户的属性信息,如UID、GID
/etc/shadow                #存放用户的口令信息 只有系统管理员能查看
/etc/pam.d/system-auth     #账户安全配置文件
/etc/login.defs            #修改登录的配置文件
/etc/profile            #Linux全局变量信息
/etc/ssh/sshd_config    #ssh服务配置文件
/etc/hosts.allow 与 /etc/hosts.deny        #控制外部主机对本机服务的访问

二、帐户口令

  1. 删除不需要的用户与组,锁定暂时不需要的用户。
 userdel 用户         #删除用户 
 groupdel 用户组    #删除用户组 
 passwd -l 用户名    #锁定不必要的用户 
 passwd -u 用户名    #解锁需要恢复的用户
  1. 检查非root账号uid是否为0。
 awk -F: '($3 == 0) { print $1 }' /etc/passwd
  1. 检查是否有空口令账号。
 awk -F: '($2 == "") { print $1 }' /etc/shadow
  1. 设置口令策略。
 1.修改 /etc/login.defs 
 PASS\_MIN\_LEN 12         #最小密码长度设置为12位 
 PASS\_MAX\_DAYS 90        #设置用户的密码最长使用天数 
 
 2.修改 /etc/pam.d/system-auth passwd requisite pam_cracklib.so retry=5 difok=3 ucredit=-1 lcredit=-1 dcredit=-1 
 上述命令意义: 
 retry=5         #尝试次数:5 
 difok=3           #最少不同字符:3     
 ucredit=-1        #最少大写字母:1 
 lcredit=-1        #最少小写字母:1 
 dcredit=-1        #最少数字:1
  1. 配置帐户认证失败锁定。
#修改 /etc/pam.d/system-auth                                                 
auth required pam.tally.so  onerr=
最低0.47元/天 解锁文章
2501_90254128
关注
Kubernetes 集群安全(身份认证机制、SecurityContext、Network Policy网络策略、预防配置泄露、全面加固集群安全
weixin_43273856的博客
06-12 346
Kubernetes集群安全实践摘要: 身份认证机制是K8s安全的第一道防线,支持多种认证方式: TLS客户端证书认证(推荐机器级调用) Token认证(ServiceAccount适用于Pod访问API) OIDC(适合企业SSO集成) Webhook(自定义认证逻辑) SecurityContext提供容器级安全控制,关键配置包括: 限制容器以非root用户运行 禁止特权提升 设置只读文件系统 通过capabilities限制权限 启用seccomp沙箱 网络策略可定义Pod间通信规则,预防配置泄露需加
Linux配置文件
LongL_GuYu的博客
05-11 2260
详细介绍Linux配置文件
linux文件系统安全
MoYanHanHuiLengMa的博客
12-23 597
bin 常用二进制文件 mkdir ls sbin 系统管理的命令 root超级用户执行 boot 内核以及引导系统程序所需要的文件目录,安装系统分区时需要 dev 设备文件目录 声卡 磁盘 etc 操作系统配置文件的目录 home 普通用户存放默认数据目录 mant 临时挂载存储设备的目录 相当于回收站 lib proc 操作系统运行时进程...
系统安全加固(一) Linux系统加固
Hey_1_Kong的博客
07-29 857
Linux系统常见的安全加固方法
linux系统加固
qq_45496593的博客
12-07 1443
账号和口令 • 禁用或删除无用账号 • 减少系统无用账号,降低安全风险。 • 操作步骤 • cat /etc/shadow 查看有多少账户 • 使用命令 userdel <用户名> 删除不必要的账号。 • 使用命令 passwd -l <用户名> 锁定不必要的账号。 • 使用命令 passwd -u <用户名> 解锁必要的账号。 • 检查特殊账号 • 检查是否存在空口令和root权限的账号。 • 操作步骤 • 查看空口令和root权限账号,确认是否存在异常账号: •
Linux重要目录和文件
qq_51659538的博客
08-19 1639
Linux重要目录与文件
linux下重要的目录及文件
zr1213159840的博客
05-02 2391
在打linux靶机时,经常会遇到读取一个系统文件,但是很多时候我不知道为什么要读取这个文件,因此整理这个文档,将重要的目录以及文件进行整理。同时整个截图,以kali系统演示。 /bin目录 bin目录,binary(二进制的),里面存在很多可以执行的命令。 /sbin目录 sbin目录,super binary,存在着很多root用户可以执行的命令。 普通用户一般是$符号开头 root用户一般是#符号开头 /usr目录 usr目录,unxi system resource,看也有地方说是unix sof
Linux进阶——系统安全重要文件加固系统相关配置_安全加固需要配置文件有如下几个(1)
2401_83947353的博客
05-01 401
修改/etc/pam.d/suauth required /lib/security/pam_wheel.so group=wheel #只允许wheel组的用户su到root#打开/ect/sudoers 文件ps –aef | grep syslog #确认syslog是否启用cat /etc/syslog.conf #查看日志相关配置,各日志文件存放位置。
Linux进阶——系统安全重要文件加固系统相关配置
Arya的博客,专注后端领域
03-01 1818
Linux进阶——系统安全重要文件加固系统相关配置
Linux系统安全配置基线
zdy0_2004的专栏
07-05 3529
http://www.cnblogs.com/sun-sunshine123/p/7119472.html 一:共享账号检查 配置名称:用户账号分配检查,避免共享账号存在 配置要求:1、系统需按照实际用户分配账号; 2、避免不同用户间共享账号,避免用户账号和服务器间通信使用的账号共享。 操作指南:参考配置操作:cat /etc/passwd查看当前所有用户的情况;
Linux系统管理——系统安全及应用(1)
baimao__Ch的博客
08-07 984
su 的 PAM 配置文件的具体内容如下所示。每一行都是一个独立的认证过程;控制类型也可以称做 Control Flags,用于 PAM 验证类型的返回结果。1)required 验证失败时仍然继续,但返回 Fail2)requisite 验证失败则立即结束整个验证过程,返回 Fail3)sufficient 验证成功则立即返回,不再继续,否则忽略结果并继续4)optional 不用于验证,只是显示信息(通常用于 session 类型)验证流程如图 10.1 所示。
Linux服务器的配置、维护、环境搭建和安全配置配置文件、启动命令行
ermaner666的博客
04-01 2053
1. 文件读写权限 chmod 777 -R xxx setenforce 0    //临时生效 2. Nginx、apache页面存放位置 /usr/share/nginx/html    //nginx页面存放位置 /var/www/html    //apache页面存放的位置 3. 各个应用配置文件位置 /etc/syscon...
Linux服务器安全策略配置
我是飞飞啊,不一定温柔,但一定自由
07-28 1485
Linux服务器安全策略配置1、口令长度限制2、登录失败锁定3、设置tty登录超时自动退出4、ssh安全配置5、禁止USB外设6、配置恶意软件防范策略 1、口令长度限制 设定用户默认密码长度不小于10位(数字、字母、特殊字符) 说明:该限制只是警告提示,不是强制要求 · 检查项:设置用户密码最小长度 加固建议:在/etc/security/pwquality.conf中取消minlen注释符号#,同时设置最小密码长度建议10位以上 · 检查项:设置用户密码数字位数 加固建议:在/etc/security/
5.Linux系统文件权限安全基本管理
愿你走出半生,归来仍是少年!
01-03 2867
Linux平台下的文件权限安全基本管理 1.文件权限存在的意义 1.文件权限是系统最底层的安全设定方式之一; 2.保证文件可以被可用的用户来进行相应的操作。 2.文件权限的查看 对于文件: ls -l file ll file 对于目录: ls -ld dir ll -d dir 对于一个大目录下的所有子目录和文...
linux基本安全配置
番茄炒西红柿
08-17 3505
编号对应linux基本4步安全策略 1.#useradd slIJ34JNGwc && echo "fjis#@%V" | passwd --stdin slIJ34JNGwc #创建用户并修改密码 2.#vim/etc/ssh/sshd_config #ssh的配置文件 PermitRootLogin yes ...
linux安全加固
weixin_45653478的博客
04-06 1545
etc/login.defs ⽂件⽤于在创建⽤户时,对⽤户的⼀些基本属性做默认设置,例如指定⽤户 UID 和 GID 的范围,⽤户的过期时间,密码的最⼤⻓度,等等。需要注意的是,该⽂件的⽤户默认配置对 root ⽤户⽆效。并且,当此⽂件中的配置与 /etc/passwd 和/etc/shadow ⽂件中的⽤户信息有冲突时,系统会以/etc/passwd 和 /etc/shadow 为准。
移动安全-APP安全加固
飞扬的博客
02-06 1111
转载地址1:https://blog.youkuaiyun.com/weixin_39190897/article/details/98471125 移动安全-安卓漏洞:https://www.cnblogs.com/AtesetEnginner/p/11299050.html https://blog.youkuaiyun.com/xwh_1230/article/details/78416306 ...
*方向:** Linux 权限模型 (DAC) 在现代复杂环境下的不足与增强。 * **潜在研究空白/问题:** * **SUID/SGID 程序的滥用与最小权限原则的落地困难:** SUID/SGID是必要之恶,但也是常见攻击向量。研究如何更细粒度地控制SUID/SGID程序的权限(例如基于命名空间、能力Capabilities限制其能访问的资源),或推动替代方案(如基于能力的守护进程设计)的普及,减少对SUID的依赖,是重要的安全课题。 * **用户空间到内核空间的接口 (syscall) 安全加固:** Seccomp, Landlock 等机制用于限制进程可用的系统调用,但配置复杂且容易出错。研究如何自动化生成或推荐合理的Seccomp/Landlock策略配置文件,或者设计更易用、更安全的默认沙箱机制,降低使用门槛是空白。 * **操作系统日志 (syslog, journald) 的安全性与完整性保障:** 日志是事后分析的关键,但日志本身可能被攻击者篡改或删除。研究操作系统层如何提供更强的日志完整性保护(如写入只读介质、使用区块链技术存证哈希)和机密性保护(敏感信息脱敏),防止“擦除痕迹”攻击是重要方向。*(与你给的日志安全例子相关,但更聚焦OS层实现)*
最新发布
06-06
<think>嗯,用户这次提出了一个非常专业的Linux安全议题,明显是系统安全领域的从业者或资深爱好者。从ta追问的深度来看,应该已经具备Linux基础权限模型的知识,现在更关注现代环境下的攻防对抗层面。用户提到的几个关键词很有意思:SUID/SGID滥用、syscall加固、日志安全,这三者恰好构成纵深防御的三个层次——权限边界控制、行为控制、审计追踪。需要特别注意用户引用的三个资料中提到的细节:包括UID≥65534的隐蔽技巧、SELinux对root的限制、实时监控矩阵等实践方案。上次讨论快速排序时用户就表现出对原理和优化并重的倾向,这次回复应该保持同样风格:既要讲清楚DAC模型的技术缺陷(比如passwd文件篡改案例),又要给出可落地的加固方案(如Landlock的实际配置示例)。特别要注意用户提到的日志完整性保护,这是企业环境最易忽视的环节。技术难点在于平衡深度和可读性:比如解释seccomp的BPF过滤机制时,可能需要用C代码片段展示规则,但又要避免让用户陷入语法细节。另外用户提到的journald安全配置是个容易踩坑的点,需要明确标注哪些配置项会影响性能。从攻防对抗角度,应该补充两个维度:1)攻击者视角的规避手段(如动态生成用户绕过检测)2)防御方的自动化响应流程。用户提供的引用[2]里SOAR示例很实用,可以转化为具体的命令行操作。</think> Linux的自主访问控制(DAC)权限模型在应对现代安全威胁时存在显著缺陷,以下是系统性分析及改进方案: --- ### **一、DAC模型的根本缺陷** 1. **权限边界模糊** - **SUID/SGID滥用**:`$ chmod u+s /path/to/bin` 赋予普通程序root权限,成为提权跳板(如`passwd`被篡改后窃取密码)[^1] - **所有权控制薄弱**:用户可任意修改自有文件权限(`$ chmod 777 file`),导致敏感数据泄露 2. **横向权限扩散** - 组权限(GID)粒度粗糙,无法实现进程级隔离 - 示例:Web服务用户`www-data`被攻破 ⇒ 同组所有资源沦陷 3. **特权进程失控** - Root权限无约束:一旦获取root即掌控全系统[^3] - CAPABILITY逃逸:`$ setcap cap_net_raw+ep /bin/ping` 可能被用于网络嗅探 --- ### **二、纵深防御改进方案** #### **(1) 最小权限原则** | **技术** | **实施方式** | **防护场景** | |----------------|-----------------------------------------------------------------------------|--------------------------| | **能力机制** | `$ setcap cap_dac_override+p /usr/bin/backup` 替代SUID | 仅授权需超越DAC的特定能力 | | **沙盒容器** | `$ firejail --caps.drop=all --net=none /opt/app` | 限制网络/文件系统访问 | | **Namespaces** | `$ unshare -p -f --mount-proc /bin/bash` | 隔离进程树/挂载点 | #### **(2) Syscall层加固** ```c // Seccomp BPF过滤规则示例:仅允许基础syscall struct scmp_filter_ctx ctx = seccomp_init(SCMP_ACT_KILL); seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(read), 0); seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(write), 0); seccomp_load(ctx); ``` - **Landlock进阶控制**: ```c struct landlock_ruleset_attr attr = { .handled_access_fs = LANDLOCK_ACCESS_FS_EXECUTE }; int ruleset_fd = landlock_create_ruleset(&attr, sizeof(attr), 0); // 限制文件执行操作 ``` #### **(3) 日志安全增强 **Journald安全配置** (`/etc/systemd/journald.conf`): ```ini [Journal] Seal=yes # 启用TAMPER-SEALING Storage=persistent # 确保持久化存储 ForwardToSyslog=no # 避免明文传输风险 ``` **完整性保护关键措施**: 1. **日志签名**:`$ journalctl --setup-keys` + `--sign` 生成Ed25519签名 2. **只读存储**:挂载日志目录为`ro,noexec,nosuid` 3. **远程传输加密**:`systemd-journal-upload -u https://logserver:19532` 使用TLS --- ### **三、防御体系集成** 1. **SELinux强制访问控制(MAC)**[^3] - 定义域-类型强制策略:`allow httpd_t var_log_t:file { append };` - 阻止DAC的越权行为(即使进程uid=0) 2. **实时监控矩阵** ```bash # Auditd规则:监控passwd变更 -w /etc/passwd -p wa -k identity_mod # 检测SUID滥用 -a always,exit -F arch=b64 -S execve -F "a0&01000" -F auid>=1000 -F auid!=unset -k suid_exec ``` 3. **零信任日志管道** ```mermaid graph LR A[应用] -->|TLS加密| B(Journald签名存储) B --> C(中央日志服务器) C --> D[区块链存证] D --> E[SIEM告警] ``` --- ### **四、实践建议** 1. **SUID/SGID清理**:`$ find / -perm /6000 -exec chmod u-s,g-s {} +` 2. **Landlock沙盒部署**:优先用于GUI应用/网络服务 3. **日志巡检脚本**: ```bash # 检查异常UID 0账户 awk -F: '($3 == 0) && ($1 != "root")' /etc/passwd # 扫描SUID文件修改时间 find / -perm /4000 -printf "%TF %TT %p\n" ``` > **根本性转变**:现代安全需从DAC的"信任主体"转向"持续验证",通过Seccomp/Landlock实现**_执行路径可信_**,SELinux保障**_数据边界安全_**,TEE+日志签名构建**_审计链完整_**[^2][^3]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值