Linux学习笔记(12~13)——Linux安全加固、Windows命令

最新推荐文章于 2025-12-04 21:50:53 发布
原创 最新推荐文章于 2025-12-04 21:50:53 发布 · 1k 阅读 · 24 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #学习 #笔记

Linux操作系统基础学习笔记(12~13)

前言

本期主要学习安全加固思路
从 身份鉴别(删除多余无用账号、增加密码复杂度、设置密码有效期、设置失败重试次数)
访问控制(设置黑白名单IP、端口、root权限控制)
安全审计(添加日志)
漏洞补丁(安装更新)
安全产品
加固清单 等方面考虑安全
另外对Windows 命令进行了解

12、Linux安全加固

(1)安全加固的概述

在这里插入图片描述

(2)身份鉴别加固

主要针对ssh密码暴力破解
在这里插入图片描述
命令 cat /etc/passwd 用于显示 Linux 或 Unix 系统中 /etc/passwd 文件的内容。这个文件包含了系统上所有用户账户的基本信息。

命令 cat /etc/shadow 用于显示 Linux 或 Unix 系统中 /etc/shadow 文件的内容。这个文件包含了系统用户的密码信息和其他安全相关的数据。

  1. 安全性:

    • 这个文件只有 root 用户可以读取和修改
    • 普通用户无法访问此文件

  2. 文件内容:每行代表一个用户账户,包含以下字段(用冒号分隔):

    username:password:lastchange:min:max:warn:inactive:expire:
    • username:用户名
    • password:加密后的密码
    • lastchange:上次修改密码的日期(从1970年1月1日起的天数)
    • min:两次修改密码之间的最小天数
    • max:密码有效的最大天数
    • warn:密码过期前的警告天数
    • inactive:密码过期后账号被禁用前的天数
    • expire:账号过期的日期
      在这里插入图片描述
awk -F: ‘(¥2==“”){print$1}/etc/shadow
这个命令是用来在 /etc/shadow 文件中查找没有设置密码的用户账户

  1. awk`: 这是一个强大的文本处理工具,用于对结构化文本进行操作。

  2. -F:: 这个选项设置字段分隔符为冒号(:)。因为 /etc/shadow 文件中的每个字段都是用冒号分隔的。

  3. ‘($2==“”)’: 这是 awk 的条件语句。

    • $2 表示第二个字段,也就是密码字段。
    • == 是比较操作符。
    • “” 表示空字符串。
    • 整个条件的意思是:如果第二个字段(密码字段)为空。

  4. ‘{print $1}’: 这是 awk 的动作语句。

    • 如果条件为真,就执行这个动作。
    • $1 表示第一个字段,也就是用户名。
    • print 表示打印出来。

  5. ‘/etc/shadow’: 这是要处理的文件路径。

    注意:

    1. 这个命令需要 root 权限才能执行,因为普通用户无法读取 /etc/shadow 文件。
    2. 在实际的 Linux 系统中,没有设置密码的账户通常会在密码字段显示为 “!” 或 “*”,而不是完全为空。因此,这个命令可能不会找到任何结果。
    3. 如果要查找被锁定或禁用的账户,可能需要修改条件,比如 ‘($2==“!” || $2==“*”)’ 。

在这里插入图片描述

pwmake 56

生成一个复杂度为56的值
在这里插入图片描述
操作系统自带的密码评估工具
在这里插入图片描述
在这里插入图片描述

(3)访问控制加固

限制用户越权访问

设置允许的IP访问(白名单):

在这里插入图片描述
配置完成后,重启ssh服务

service sshd restart

设置拒绝的ip访问(黑名单):
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

  • 禁止root用户远程登录。不能远程登录就只有直接登录,比如系统终端的登录界面登录。因为root用户权限太高,非常敏感,如果让所有人都可以远程登陆就非常危险,所以要将root用户设置成不允许远程登录。以centos为例,默认是root用户允许远程登录,kali操作系统默认禁止root用户远程登录,在学习实验中,反而我们要特地去配置开放,实现远程连接。在生产环节中,要在这个配置文件里vim /etc/ssh/sshd_config 设置为PermitRootLogin no不允许root用户以远程SSH的这种方式连接登录,只能在这个登录界面去登陆。Centos、Kali两个操作系统都有这个配置文件。
    在这里插入图片描述
    禁止其他用户su(switch user)切换用户
  • Linux操作系统设计su的意义,普通用户在自己的当前状态可以通过su或sudo切换用户,如果获得管理员密码,或得到管理员授权后,可以通过su或sudo进行root切换,实现提升权限。但如果所有用户对root都可以通过su或sudo对root切换实现提升权限,对安全而言是有危险的,所以需要通过vim
    /etc/pam.d/su修改配置文件。

只允许wheel组用户

auth sufficient pam_rootok.so

auth required pam_wheel.so group=wheel

在这里插入图片描述
在这里插入图片描述
有两个敏感权限。

  1. Sudo 常被用于有Linux操作系统普通用户的提权的一个入口。Sudo就是方便某些普通用户以root身份去做某一些操作。 配置文件是 /etc/sudoers但编辑使用visudo 去编辑。在这个里面就可以配置什么样的用户可以在做什么样的操作时使用root身份执行这个命令。
  2. SUID提权。操作系统s权限命令,当普通用户需要修改密码,怎样调用/usr/bin/passwd程序?就是给/usr/bin/passwd程序加上s权限,有了s权限后,其他用户执行这个程序会自动使用临时root身份去执行,执行完后还是普通用户权限。
    在这里插入图片描述
    s权限的授权要慎重,如果随便对本身不具有s权限的命令授权S权限,可能让其成为其他用户执行某一个命令将自己提升到root权限的入口
    查找有s权限的程序
find / -user root -perm -4000 -print 2 >/dev/null
  • 搜索整个文件系统,找出所有属于 root 用户且设置了 SUID
    位的文件,并将结果打印到标准输出。同时,它会忽略所有因权限不足等原因产生的错误消息。
    这个命令通常用于系统安全审计,因为 SUID
    权限可能会被用来提升普通用户的权限,如果使用不当可能会带来安全风险。系统管理员经常使用这个命令来检查系统中可能存在的安全隐患。
(4)安全审计加固

在这里插入图片描述
自带的审计工具

我想要关注那个文件的变化就将这个文件添加到auditd规则中,只要这个文件发生了变化就会记录到日志中,我们就可以通过直接查看日志看看有哪些事件

具有审计控制实用程序的规则
使用auditctl程序控制行为、获取状态以及添加或删除规则。
添加一一个审计规则,记录任何读取或修改/etc/ssh/sshd_ config 文件的尝试。

sudo auditctl -W /etc/ssh/sshd_ config -p rwxa -k sshd_ config

其中:
●-w:在给定路径创建监视。
●-p:设置触发监视的权限[读取,写入,执行,属性]。
●-k:设置用于唯一 标识规则生成的审计记录的密钥筛选器。
显示规则。

sudo auditctl -1

新规则将添加到列表底部,但也可以将其添加到顶部。
检查是否已将新规则添加到/etc/ audit/ audit . rules文件中。

sudo cat /etc/audit/audit. rules

在这里插入图片描述

(5)漏洞补丁加固

https://www.cvedetails.com/ 这个网站,查看Linux系统统计的漏洞数,漏洞范围
在这里插入图片描述

(6)安全产品

在这里插入图片描述

(7)加固清单和脚本

在这里插入图片描述

总结:安全加固思路

在这里插入图片描述

13、Windows命令

dos命令大全

 https://www.uc23.net/command/msdos
 https://learn.microsoft.com/zh-cn/windows-server/administration/windows-commands/windows-commands
  • cmder.net官网下载,就可以在DOS的command命令行执行Linux命令。因为cmder已经将Linux的执行命令转化为dos执行命令,输出执行结果;command命令无大、小写

在这里插入图片描述
在这里插入图片描述

  • windows的PowerShell与cmd不一样,PowerShell可以说是cmd的升级版,但两者的设计思路已发生改变,PowerShell基于Microsoft的.net接口设计,所以不仅能执行cmd命令,还能执行代码、脚本。对于电脑的配置管理PowerShell比较少用,能在cmd操作的命令尽量不在PowerShell中执行。
    在这里插入图片描述
    网卡重启脚本
    在这里插入图片描述
Linux安全加固
qq_46560756的博客
10-30 1558
本文介绍了Linux系统安全加固的方法,包括账号管理、权限管理、服务进程、日志管理等操作步骤,适用于Centos7版本的服务器系统。
linux常用加固方式
8888的博客
01-26 1528
添加一行:/dev/mapper/encrypted_volume /mnt/encrypted_directory ext4 defaults 0 2。修改/etc/pam.d/sshd 在文件末尾加:auth required pam_google_authenticator.so。添加一行:encrypted_volume /path/to/encrypted_container none luks。会创建一个名为encrypted_volume的设备(通常在/dev/mapper/目录下)
Linux安全加固手册
weixin_34054931的博客
12-06 1988
1 身份鉴别 1.1 密码安全策略 操作系统和数据库系统管理用户身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换。 设置有效的密码策略,防止攻击者破解出密码 1)查看空口令帐号并为弱/空口令帐号设置强密码 # awk -F: '($2 == ""){print $1}' /etc/shadow 可用离线破解、暴力字典破解或者密码网站...
系统安全加固() Linux系统加固
Hey_1_Kong的博客
07-29 931
Linux系统常见的安全加固方法
Linux 安全基线检查与加固_linux基线加固
baimao__Ch的博客
08-21 3701
umask值(用户文件创建掩码)是在Linux和其他类Unix系统中使用的一个重要概念,用于控制用户在创建新文件或目录时,默认赋予这些文件或目录的权限。umask是一个由三个八进制数字组成的值,分别对应文件或目录的用户(owner)、组(group)、其他人(others)的权限位。每个数字分别代表要从默认的最大权限中移除的权限位。在八进制表示中,数字4表示读权限(r),2表示写权限(w),1表示执行权限(x),而0表示没有任何权限。
Linux安全加固之身份鉴别+访问控制篇
派大星的不眠博客
09-13 1290
linux安全加固之身份鉴别+访问控制
2024年Linux最全LinuxWindows系统常用加固项_lockoutbadcount(1)
2401_83946826的博客
04-30 822
上面不能进行强制修改,minlen表示最小密码长度。
Linux常见的几种加固方法
YidaHu的博客
01-07 5928
1,shadow文件的存取权限漏洞 有rw权限不合规 cd /etc ls -l shadow chmod 400 shadow 2,group文件的存取权限漏洞 有rw权限不合规 ls -l /etc/group chmod 644 3,普通密码强度漏洞 vi /etc/login.defs 4,查看是否存在出root
【PCIe 总线及设备入门学习专栏 5.4 -- Linux EP driver iommu 与 DMA】
最新发布
CodingCos的博客
12-04 17
本文介绍了IOMMU在Linux系统中的应用场景及关键概念。IOMMU主要用于PCIe设备DMA访问时的地址转换(IOVA→PA)、提供安全隔离以及支持虚拟化场景。文章对比了启用/关闭IOMMU的差异,详细说明了IOVA的使用时机,并列举了内核态地址转换的相关API,包括虚拟地址转物理地址(virt_to_phys)、用户态地址转换(get_user_pages)以及IOMMU相关转换(iommu_iova_to_phys)。特别指出CPU访问BAR时不经过IOMMU,只有PCIe设备DMA时才需要IOMM
99-在Linux上安装Anaconda
12-03 153
【代码】99-在Linux上安装Anaconda。
AlmaLinux9配置本地镜像仓库
weixin_50877409的博客
12-04 52
本文介绍了在AlmaLinux 9.7系统中配置本地yum仓库的步骤:1)创建挂载目录并挂载ISO镜像;2)备份原有repo文件并创建local.repo配置文件;3)设置本地仓库路径为/media/cdrom/AppStream;4)清除并重建yum缓存;5)最后通过成功安装telnet包验证了本地仓库配置的正确性。整个过程实现了不依赖网络使用本地ISO镜像作为软件源的目的。
Linux】冯诺依曼体系结构和操作系统概述
Miun123的博客
11-29 2128
冯诺依曼体系结构是现代计算机的基础设计,由运算器、控制器、存储器、输入设备和输出设备五大部件组成,通过总线连接。操作系统采用先描述,再组织的方式进行软硬件管理,通过系统调用和库函数为用户提供安全便捷的接口。
Linux 进程状态与进程管理命令
qq_52537313的博客
12-04 613
Linux 系统中,是程序的运行实例,是操作系统资源分配和调度的基本单位。进程从创建到终止会经历多种状态,通过进程管理命令可以查看、监控和控制这些状态。本教程将结合核心命令,全方位讲解进程状态及管理方法。
Linux设备管理:从内核驱动到用户空间的完整架构解析
X
12-03 719
A[物理硬件插入/移除] --> B[内核驱动探测]B --> C{Linux统一设备模型 LDM}C --> D[在/sysfs创建对象]C --> E[发送uevent事件]D --> F[用户空间工具<br>lspci, lsusb等]E --> G[UDEV守护进程]G --> H[扫描规则库 /etc/udev/rules.d/]H --> I[匹配并执行规则]I --> J1[创建设备节点 /dev/]I --> J2[设置权限与所有权]I --> J3[执行自定义脚本]
Linux 中替换某个目录下所有文件中的特定字符串
liweiweili126的博客
12-02 654
Linux 中替换某个目录下所有文件中的特定字符串,核心是用 findsed组合,支持灵活扩展(如备份原文件、过滤文件类型、排除目录等)。
Linux C/C++ 开发】 GCC 编译过程深度解析指南
love131452098的博客
12-04 496
GCC (GNU Compiler Collection) 将 C 源码转换为可执行文件的过程并非一蹴而就,而是分为四个独立的流水线阶段:预处理 (Preprocessing)、编译 (Compilation)、汇编 (Assembly) 和 链接 (Linking)。预处理器主要处理以 开头的指令。使用 参数查看预处理结果: 查看 的尾部,可以看到宏 和 已经被替换: 3. 阶段二:编译 (Compilation) 这是整个流程中最复杂、最核心的阶段。GCC 前端(Frontend)将 C 代
Linux---<unistd.h>类Unix系统编程核心头文件
MzKyle的博客
12-04 504
<unistd.h>是Unix/Linux系统编程的核心头文件,提供底层系统调用接口。它封装了文件操作、进程管理等基础功能,是开发系统级程序的必备依赖。该头文件包含关键宏定义(如文件描述符STDIN_FILENO)、权限检查常量(R_OK/W_OK)以及文件操作函数(access/chmod/read/write等)。通过文件描述符机制,开发者可直接与内核交互,实现高效I/O操作。典型应用包括权限管理、文件重定向(dup2)和原始I/O读写。所有类Unix系统原生支持,但Windows需通过兼容
Linux 文件权限深度解析与实战指南
1024
11-30 296
本文全面解析了Linux文件权限管理,从基础概念到高级应用。主要内容包括:权限类型(读/写/执行)和表示法(字符/数字);核心命令chmod、chown、chgrp的使用;特殊权限(SetUID/SetGID/Sticky Bit)的原理与设置;umask默认权限配置;ACL高级权限控制方法。通过Web服务器配置、多用户协作等实战案例,演示了权限管理的实际应用,并提供了权限问题排查技巧和最佳实践建议。掌握这些知识对Linux系统安全和高效管理至关重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Whoam_laowei

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值