系统安全的重要性

数据安全：主要防止个人的敏感信息被窃取盗用，破坏

1、账号安全控制

锁定账户：

锁定：passwd -l   用户名                  解锁：passwd -u  用户名

锁定：usermod -L   用户名               解锁：usermod  -U   用户名   

删除用户：

userdel  -r  用户名       连家目录一起删掉

修改用户名：usermod   -n（或-l）  新的用户名      旧的用户名  

查看文件状态：

lsattr /etc/passwd  存放用户

lsattr /etc/shadow  存放密码

lsattr /etc/fstab

锁定重要文件：

/etc/passwd

/etc/shadow

/etc/fstab

锁定文件：chattr+i  /etc/passwd

解锁文件：chattr-i  /etc/passwd

对密码进行安全控制：

密码有效期：到了一定的时间，系统强制用户修改密码

密码的形式：

①传统文本密码

②指纹登陆的密码

③二维码

④技术控制

一般密码控制格式：文本格式的密码、常用于服务器

1、设置密码有效期：

修改配置文件、改变账号创建时的密码最大有效期

vim /etc/login.defs     然后修改第25行、给第25行的内容前加注释 #

2、vim /etc/shadow  （不推荐）

chage -M 30    （M：指密码有效期）   针对已有帐户

3、强制用户下次登录时修改密码：

chage  -do  用户名

二、对历史命令进行限制————限制历史命令记录的数量、以及清除历史命令记录（临时生效）

history  -c  

三、永久修改历史记录

①vim  /etc/profile

②source  /etc/profile

③history 查看

四、修改历史记录

vim /etc/profie

Histsize=30~50

设置登陆的超时时间、主要针对远程连接工具

vim  /etc/profile

例：TMOUT=6    表示6秒内不在终端进行操作就会退出

限制用户进行切换

为了方便，我们会给一些普通用户类似管理员的权限，这些用户只能自己用，不能随意切换到其他用户

wheel组是一个特殊的组，此组用于控制用户的访问权限，加入well组后，可以和root管理员一样使用一些敏感命令

有一限制条件：sudo可以和管理员一样，执行root管理员的命令、必须要加入wheel组

wheel组默认是空的、需要手动添加、会进行限制、只能使用特定的一些命令

例：vim  /etc/pam.d/su

auth  required  

pam-wheel.so  use-uid

就是普通用户之间切换su将会受到限制，除非加入wheel组、否则将不能进行用户切换

pgasswd -a  wheel

PAM：身份认证的框架

提供一种标准的身份认证接口，管理员可以定制化配置各种认证方式

可插拔：即配即用、即删即失效

PAM：

①认证模块

②授权模块

③模块的类型

第一列表示认证类型

第二列表示控制类型

第三列表示PAM模块类型

auth：用户身份认证

account：账户的有效性

passwd：用户修改密码时系统的机制校验

session：会话控制、控制最多打开的文件数、能开的最大进程数

required：只有认证成功才能进行下一步，如果认证失败系统也不会提示你、而是接着让你认证，不告诉你结果，只有当你完成所有的认证，系统才会给你回馈

requisite：一票否决，只要返回失败，立即终止并反馈给用户

sufficient：一票通过，返回成功后就不会再执行和他相同模块内的认证，其他的模块返回失败，也可以忽略

提升sudo命令的一个限制，只能使用特定的一些命令，或者禁止使用一些命令

sudoers：必须强制保存并退出，或者强制退出

sudo：普通用户可以使用管理员

vim  /etc/sudoers

指定操作：

用户名  ALL =（root） /sbin/sfconfig，/sbin/passwd

限制：

用户名    ALL=(root) ALL
Host_Alias MYHOSTS=localhost
User_Alias MYUSERS=用户名
Cmnd_Alias MYCMNDS=/sbin*，!/sbin/reboot，!/sbin/poweroff，!/sbin/inif，!/usr/bin/rm
MYUSERS MYHOSTS=MYCMNDS