Linux帐号和登录安全

最新推荐文章于 2024-04-21 23:41:03 发布
最新推荐文章于 2024-04-21 23:41:03 发布
阅读量173 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 操作系统 运维 网络
原文链接:https://my.oschina.net/Clarences/blog/1498989

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

    安全是IT行业一个老生常谈的话题了,最近的“棱镜门”时间映射出了很多安全问题,处理好信息安全问题已变得刻不容缓。因此一名运维人员,必须了解一些安全运维准则,同时,要保护自己所负责的业务,首先要站在攻击者的角度思考问题,才能修补任何潜在的威胁和漏洞。

    帐号安全是系统安全的第一道屏障,也是系统安全的核心,保证登录帐号的安全,在一定程度上可以提高服务器的安全级别,

一、删除特殊的用户和用户组

    Linux提供了各种不通角色的系统帐号,在系统安装完成后,默认会安装很多不必要的用户和用户组,如果不需要某些用户或用户组,应立即删除它们,因为帐号越多,系统就越不安全,从而很可能被黑客利用,威胁服务器的安全。

    Linux系统中可以删除的默认用户和用户组大致如下:

  • cat /etc/passwd(查看所有用户)
  • 可删除的用户:adm、lp、sync、shutdown、halt、news、uucp、operator、games、gopher
  • cat /etc/group(查看所有用户组)
  • 可删除的用户组:adm、lp、news、uucp、games、dip、pppusers、popusers、slipusers

    删除的方法很简单,下面举例说明删除系统不必要的用户使用如下命令:

[root@iZm5e1zj4mlgc24i43avl0Z ~]# userdel adm
[root@iZm5e1zj4mlgc24i43avl0Z ~]# userdel lp
[root@iZm5e1zj4mlgc24i43avl0Z ~]# userdel sync
.......

    删除系统不必要的用户组使用如下命令:        

[root@iZm5e1zj4mlgc24i43avl0Z ~]# groupdel games
[root@iZm5e1zj4mlgc24i43avl0Z ~]# groupdel dip
[root@iZm5e1zj4mlgc24i43avl0Z ~]# groupdel pppusers
.......

    有些时间,某些用户仅仅用作进程调用或者用户组调用,并不需要登录功能,此时可以禁止这些用户登录系统的躬耕,例如要禁止nagios用户的登录功能,可以执行如下命令:

        [root@iZm5e1zj4mlgc24i43avl0Z ~]# usermod -s /sbin/nologin nagios

    其实要删除那些用户和用户组,并没有固定要求,可以根据服务器的用途来决定,如果服务器是用于web应用的,那么系统默认的apache用户和用户组就无需删除;而如果服务器是用于数据库应用的,那么建议删除系统默认的apache用户和用户组。

    二、密码安全策略

    在Linux下,远程登录系统有两种认证方式:密码认证和密钥认证。密码认证方式是传统的安全策略,对于密码的设置,比较普通的说话是:至少6个字符以上,密码要包含数字字母下划线特殊符号等。

    密钥认证是一种新型的认证方式,公用密钥存储在远程服务器上,专用密钥保存在本地,当需要登录系统時,通过本地专用密钥和远程服务器的公钥进行配对认证,如果认证成功,就可以成功登录系统。这种方式避免了密钥认证的方式进入系统。因此,在Linux下推荐用密钥认证方式登录系统,这样就可以抛弃密码认证登录系统的弊端。

    接下来详细描述通过密钥认证方式远程登录Linux服务器的实现方法。这里的环境是Centos7、OpenSSH6.6、Xshell,操作如下:

    #ssh-keygen -t rsa

    

    执行上面命令后会在家(/home/当前用户,root用户会在/root下创建)位置下创建.ssh文件并且生成两个文件。
    -rw-------. 1 xxxxx xxxxx 176 8月   1 02:52 id_rsa
    -rw-r--r--. 1 xxxxx xxxxx 409 8月   1 02:52 id_rsa.pub

    讲id_rsa.pub名称修改为authorized_keys

    cat id_rsa.pub >> authorized_keys

    修改文件权限

    chmod 700 .ssh
    chmod 600 authorized_keys

    修改OpenSSH配置文件

    vim /etc/ssh/sshd_config

#禁用root账户登录,非必要,但为了安全性,请配置
PermitRootLogin no

# 是否让 sshd 去检查用户家目录或相关档案的权限数据,
# 这是为了担心使用者将某些重要档案的权限设错,可能会导致一些问题所致。
# 例如使用者的 ~.ssh/ 权限设错时,某些特殊情况下会不许用户登入
StrictModes no

# 是否允许用户自行使用成对的密钥系统进行登入行为,仅针对 version 2。
# 至于自制的公钥数据就放置于用户家目录下的 .ssh/authorized_keys 内
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile     .ssh/authorized_keys

#有了证书登录了,就禁用密码登录吧,安全要紧
PasswordAuthentication no

    保存退出,并且重启OpenSSH

    systemctl restart sshd.service

    把刚生成两个文件中的id_rsa拷贝到客户端,进行登录

    

    在生成密钥的时候输入的什么密码,这里的密码就输入什么,登录后就可以通过su root来对root进行切换了。

    在安装的过程遇到过很多坑,什么该用户未注册、拒绝登录。其实归根结底就是你配置文件的错误。密钥生成有很多种,也可以通过Xshell进行生成密钥,然后将生成后的公钥传到linux上。

 

    

    在此不过多介绍,留心的可以去亲自感受下这个过程。

三、防火墙

    防火墙的知识够用就可以,这里把一些常用的命令粘贴过来,供大家参考

systemctl stop firewalld
systemctl mask firewalld

yum -y install iptables-services

systemctl enable iptables

systemctl start iptables

iptables -F INPUT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT

service iptables save

systemctl restart iptables.service

 

转载于:https://my.oschina.net/Clarences/blog/1498989

LinuxLinux账号用户组
2301_80224556的博客
07-13 1242
你只会看到有一些特殊符号的字母。
Linux运维安全经验-账户登录安全
老孟的私房菜
05-22 480
账户安全系统安全的第一道屏障,也是系统安全的核心,保障登录账户的安全,在一定程度上可以提高服务器的安全级别,下面重点介绍下Linux系统登录账户的安全设置方法。 1、删除特殊的账户账户组 Linux提供了各种不同角色的系统账号,在系统安装完成后,默认会安装很多不必要的用户用户组,如果不需要某些用户或者组,就要立即删除它,因为账户越多,系统就越不安全,很可能被黑客利用,进而威胁到服务...
Linux账号权限管理
一个萌新的博客
04-01 1217
主要介绍了用户账号账号以及相关的命令,还有文件/目录的权限归属设置等等
Linux账号权限管理
最新发布
2401_83330816的博客
04-21 1450
(root管理员,权限最高,ID为0)(较低权限)(伪用户,不能登录操作系统,只能正常运行服务,比如ftpapache)组账号- 基本组(私有组)- 附加组(公有组)UIDGID- UID (User IDentity,用户标识号)- GID (Group IDentify,组标识号)
linux账号权限管理
zx52306的博客
04-14 1434
用户账号文件:/etc/passwd 有七个字段 用户名、x密码占位符、UID、GID、用户说明、家目录、登录shell(允许登录系统:/bin/bash 不允许登录系统:/sbin/nologin)“ugoa”表示该权限设置所针对的用户类别。“u”代表文件属主,“g”代表文件属组内的用户,“o”代表其他任何用户,“a”代表所有用户(缺省时为a)。-s:指定用户的登录Shell,(比如/bin/bash为可登陆系统,/sbin/nologin/bin/false为禁止用户登陆系统)。
Linux】1.0 登录用户配置 + 基本指令part 1
fantastic_13_7的博客
04-08 4540
ls指令 pwd指令 cd指令 touch指令 nano tree mkdir指令 rm指令
Linux——用户账号管理
weixin_67497034的博客
03-31 7316
一,管理员用户账号 1.1 用户账户的概述 1.1.1 用户账号分类 1.1.2 用户标识UID 1.1.3 用户账号文件 1.2 用户账户管理 1.2.1设置更改密码——passwd 1.2.2添加用户账号——useradd 1.2.3修改用户属性——usermod 1.2.4删除用户账号——userdel 二,管理组账号 2.1组账号分类 2..2添加组账号——groupadd 2.3添加,设置,删除组成员——gpasswd 2.4删除组账号——groupdel 2.5查.
Linux账号登录安全
weixin_34025151的博客
11-23 187
注释掉系统不需要的用户用户组//不建议直接删除,当你需要某个用户时,自己重新添加会很麻烦。Shell[root@localhost~]#cp/etc/passwd/var/.bak/etc///欲修改,先备份[root@localhost~]#vim/etc/passwd//编辑帐号配置文件//可以被注释掉的用户:adm,lp,sync,shutdow...
linux系统安全加固--账号相关
weixin_34249678的博客
09-12 1882
linux系统安全加固 一、账号相关 1、禁用或删除无用账号 减少系统无用账号,降低安全风险。 当我们的系统安装完毕后,系统默认自带了一些虚拟账户,比如bin、adm、lp、games、postfix等,这些账号理论上是可以删除的。但是因为它们的登录shell都是/sbin/nologin,所以它们本身也是无法登录的,不用删也可以。我们要注意的是系统安装完成后,自己手动创建的一些账户,比如这些登录...
为了你的账户安全,此WeChat ID 不能登入Wechat网页版。你可以.......
热门推荐
ControlLearner的博客
10-24 11万+
问题:微信网页版无法登录了。 针对某些公司不允许下载客户端,但是是在Windows系统下的工作,可以按照我的这个简单方法来解决。 尝试咨询微信客服,微信客服的回复是:目前微信对网页版微信进行了动态安全策略调整。如登录网页版微信收到安全提示,则不支持登录网页版微信,建议使用其他微信客户端登录使用。 下载方式:登录微信PC端官网(http://weixin.qq.com/),然后根据个人需要选择...
默认帐户口令大全
Anonymous
12-14 3691
Intel Shiva Multi Guest (none) UserIntel Shiva Multi root (none) AdminIntel Shiva Lanrovers Multi root (none) AdminInterbase Interbase Database Server All Multi SYSDBA masterkey AdminIwill PC BIOS Con
系统管理命令wall,write,mesg,sync,shutdown,free,passwd
a12141986的博客
12-21 164
与系统管理有关的命令wall命令这个命令的功能是对全部已登录的用户发送信息,用户可以先把要发送的信息写好存入一个文件中,然后输入:# wall ;在(current) UNIX passwd:下输入当前的口令在new password:提示下输入新的口令(在屏幕上看不到这个口令):系统提示再次输入这个新口令。输入正确后,这个新口令被加密并放入/etc/shdow文件。选取一个不易被破译的...
Linux基础命令
weixin_43139613的博客
10-27 165
Linux安全登录用户篇
奋斗的大暴龙
01-08 525
背景 自己的服务器被远程登录,而且数据库被修改,还向我索要0.04BTC,我屮艸芔茻,不能因为我菜就欺负我啊,遂放弃助长这种勒索风气,赶紧恶补一下服务器安全相关知识。今天跟大家聊一聊Linux登录用户相关的安全问题。首先,就应该禁止root账号远程登录,让其他用户使用su命令切换root,或者用sudo命令去处理一些事情。 root用户登录服务器,增加一个用户 adduser test #增加一个...
使用 ssh 登陆 linux 的的几种方式
诗序、
05-23 3105
1. ssh 工具登陆(实际开发中最常见) 推荐xshell,免密登陆参考:Xshell配置ssh免密码登录-密钥公钥(Public key) 2. windows terminal 安装 openssh,貌似安装 git 就会有,用 ssh-keygen 生成一对密钥 使用命令 ssh root@127.0.0.1, root 为登陆的用户名,127.0.0.1 替换为登陆远程机器的地址 在远...
安全使用ssh登陆linux——非root用户密钥对登陆
08-15 977
使用ssh登陆linux系统,众所周知,ssh是一种安全的远程连接协议。但是,难保网络的复杂性会给我们的安全连接带来不可预测的隐患。所以,我们在我们力所能及之处,我们可以使我们的连接更为安全。 今天要介绍的是非root用户使用密钥对登陆linux。非root用...
Linux操作系统安全登陆设计与实现
一定要站在自己热爱的生活里闪闪发光
01-13 2万+
本实验使用了VMware来搭建虚拟化环境,在其之上,安装Ubuntu16.04LTS操作系统作为实验平台。 实验设计了一种Linux操作系统的动态登陆验证方式,在常规的密码验证之前先进行动态验证。实验使用向个人邮箱(QQ邮箱)发送实时验证码的方式,来实现动态验证。验证码由6至8位字符组成,字符均从数字、大小写字母、'$'、'@'中随机选取。如果连续3次错误输入验证码,系统会自动重发一个新的验证码到邮箱;验证码的有效时间为3分钟,若验证码超时失效,当用户输入失效验证码后,系统会自动重发新的验证码到邮箱。实.
线上Linux服务器运维安全策略经验分享
weixin_33835103的博客
03-25 700
线上Linux服务器运维安全策略经验分享 https://mp.weixin.qq.com/s?__biz=MjM5NTU2MTQwNA==&mid=402022683&idx=1&sn=6d403ab4472e8c6fb5615e3694ef1abf&scene=0&key=710a5d99946419d997addab69cf0313c7ced31d8...
Linux服务器安全加固:账号权限与远程登录控制
Linux服务器访问安全加固是一项关键的任务,旨在保护系统免受未经授权的访问潜在的攻击。本主题主要关注两个核心领域:本地授权远程控制,以增强系统的安全性。 首先,调整账户权限密码策略是加强Linux服务器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值