ssh
端口转发
ssh服务器各种配置
sudo ,aide检查文件是否完整性,tcp_wrapper
授权某用户访问messge文件,但是不能访问/etc/passwd
5版本是加message.1 message.2不是时间,日志的滚动,
前面的格式是允许的,但是不允许后面message 后面空格跟文件,就避免了用户可以看etc/passwd
成功组织看/etc/passwd
定义了那些程序登录的是必须用的shell类型要在/etc/shells里,否则不能正常登录
二进制模块 /lib64/security
要用这些二进制文件就需要用配置文件 /etc/pasm.d
每个文件基本对应每个应用程序
这里面的每个文件都有横着4项,竖着 4列
第一列 :类型 常见的有四种类型,auth实名验证,account账户(验证当前账户有效, password 负责口令更改,session (会话管理)分别对账户不同阶段做管理
第二列 放控制信息
验证阶段会有多次验证,每个过程是一票否决,还是一票肯定,逻辑上如何判断
第三列,模块名 就是看到的 /lib64/security的文件名
第四列 这些模块有的参数
7上启用telnet服务
拿root账号是不允许登录的
查看日志
错误明确显示,root账号不允许登录(pam_security这个模块造成的
看一下官方文档说明
root只能在安全的tty登录,只有这个里面文件里的tty才是安全的
没有ptsy的终端,加入PTS终端
成功登录
login登录,remote 远程
再次删除原来添加的终端
root又不能用telnet登录,这次我们修改PAM
注释删除,pam(remote和login)
vim login 模块把登录设置也删除掉
就可以绕过登录的设置了
除非确认局域网绝对安全,否则不要取消登陆验证
禁止普通用户登录就建立的nologin文件
nologin可以阻止用户登录系统,当/etc/nologin存在的时候,此文件的内容将显示给用户,不仅会拒绝用户,还会给被拒绝的用户显示拒绝信息
创建/etc/nologin文件
把信息写进去
有提示
vim login 修改文件 不用nologin,改用自己的文件
网用户又可以登录
再把/etc/nologin文件复制到/data下,王用户又不可以登录
注释掉就又不受影响
创建/etc/nologin
模块是立即生效,所以错误操作,容易造成自己也登不上
可以用来限制用户使用的资源,limits
查看哪些文件调用limits
模块包含互相调用
raise超过,
设置hard,用户不能超过设定的值
soft在前面设置的情况下,用户能调大调小(在一定范围内)
-代表不分hard soft一块设置了
item(项目)代表各种资源
core核心文件大小,
data数据文件最大多少
nofile 最大打开文件数量
memlock内存锁
vsz虚拟内存,操作系统承诺给人
rss 真实使用的内存
ulimit命令也可以限定资源,unlimit,非限定
限制某个用户使用的进程
访问网络,会打开很多socket文件
打开web服务
top查看cpu信息
-c并发访问打开10个,会生成10 socket文件
-n总的访问数
最大打开文件1024
设定打开2000就会报错,文件太多
修改限定
就不会报错了
这个调整是临时性的,退出就没了,
ulimit不是什么都能调整的,存得住就需要改文件
wang账号 hard强制的 nproc 最大打开进程数5个
查看wang用户运行的进程有几个
开满5个就不能再继续了
限定用户最大并发登录数的
多次su
登录不上
有些设定的值偏小,就需要做调整
有些物理服务器配置高,设置小容易浪费资源,
内部命令依赖于bashshell
只能在bashshell里使用
时间控制需要用到
ftp;链接数据库就需要链接第三方开发的模块
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
