系统安全及应用

一、系统安全：

保护数据安全：组织和个人进入互联网行业必须要有的基础设施之一。

保护内容：客户数据 财务信息 知识产权

相关法律法规：法律要求组织和个人必须具备保护网络安全和信息安全以及系统安全的资质

保护品牌形象：数据泄露，安全漏洞。

Linux的账号安全防护：

账号安全：

1.锁定长期不使用的账号

passwd -l 用户名

passwd -u 用户名

usermod -L 用户名

usermod -U 用户名

2.把账号设置为非登录用户：

usermod -s nologin 用户名

3.删除无用的账号：

userdel -r 用户名

密码的安全控制：

从密码的有效期来开始控制

新建用户的密码有限期

Vim /etc/login.defs进入后修改密码有小区99999变成30

仅限于新建用户，对已有的不受影响

新建一个用户并创建密码

useradd ky32

passwd ky32

对已有用户的密码有限期进行修改

chage -M 30 dn

锁定重要文件:

passwd shadow fstab

lsattr /etc/passwd 查看文件的状态

chattr +i /etc/shadow 锁定文件，不能对文件内容进行任何操作。

Chattr -i /etc/shadow  解除锁定的状态

   

对历史命令进行限制：history

history -c 临时清除历史记录。

vim /etc/profile

HIST5IZE=80

sourcre /etc/profile 无需重启

设置登录超时时间：

vim /etc/profile

在配置文件添加内容一律在最后一行新增，不要在文本中间添加

TMOUNT=20

source /etc/profile

禁止用户进行账号切换:

PAM认证su切换靠的就是PAM认证

wheel组（与group组是一样的，但是在系统中看不到）

wheel组的作用就是用来控制系统管理员的访问权限。

一旦加入wheel组，可以被授权使用一些系统管理员才能够使用的访问命令和文件。

sudo授权方式，这个必须要加入wheel，还需要其他的配置。

wheel组默认为空，需要管理员手动添加用户，配置相应的sudo访问规则

配置的时候一定要注意：有线放开原则。

进入vim后 set nu 第六行取消注释 然后保存退出

gpasswd -a dn wheel  放开dn用户的权限，su还是不行

PAM安全认证：

提供了一种标准的身份认证接口，允许管理员定制化配置各种认证方式和方法。

可插拔式的认证模块。    

PAM的认证模块有四个不同的类型：

认证模块：用于验证用户的身份，基于密码来对用户身份进行验证

授权模块：控制用户对于系统资源的访问权限，文件权限，进程权限等。

账户管理模块：管理用户的账户信息，密码策略，账户锁定策略。

会话管理模块：管理用户的会话，记录会话信息，注册用户会话，远程终端连接

Service (服务)-PAM(配置文件) -pam *.soSu 这个程序---

---匹配pam.d目录下的配置文件------Su

su--pam.d找配置文件-----su-----lib64/secruity-------调用认证模块。

ls /etc/pam.d/   #配置文件

ls /lib64/security #认证模块的位置

System-auth 系统的认证配置文件，管理用户登录，密码验证，账号授权等相关的策略。

第一列：type类型

第二列：控制位

第三位：PAM模块

type类型：

auth：用户身份认证 基于密码

account：账户有效性 限制/允许用户访问某个服务，限制用户的登录位置

比如root只能从控制台登录，必须输入账号密码

password：用户修改密码时，对密码的机制进行校验。

session：会话控制，最多能打开的文件数，最多能够打开的的进程数

控制位：

required：一票否决这个模块在认证中必须是返回成功才能通过认证，但是如果认证返回失败，失败结果不会通知用户。所有type中的模块全部认证完毕，最后再把结果反馈给用户。

requisite：一票否决必须返回成功才能通过认证，一旦返回失败不会再向下执行其他模块，直接结束

sufficient：一票通过，返回成功，表示通过了身份认证的要求。不会再执行同一类型的相同模块。如果返回失败，忽略，继续执行同一类型中的其他模块。

equired和requisteoptional：可选模块，即使返回失败，也可以忽略。

Include：可选项，调用其他配置文件中自定义的配置

 optional: 可选项

sudo 机制:sudo 授权普通用户可以使用管理员的命令和文件

ifconfig ens33:0 192.168.233.100/24  ##添加虚拟网卡。

和网卡在同一网段。 0表示虚拟网卡编号，添加多个的时候不要重复

dn ALL=(root) /sbin/ifconfig

dn 这个通用户可以和root一样拥有管理员权限，但是只限于ifconfig命令  

限制一些命令，即使用户在wheel组，也不可以使用sudo进行操作。

reboot poweroff init rm

vim /etc/sudoers

二、总结：

账号控制

passwd-l  

usermod-L

userdel-r

密码控制

vim /etc/login.defs：只能对新建用户生效

chage -M 30 dn

锁定重要文件：

chattr +i

     -i

lsattr   #查看文件状态

修改history

History -c 临时清除

vim /etc/profile

HISSIZE=1000 80 60

远程连接的超时时间：      

vim/etc/profile

在文件内容的最后一行添加

TMOUNT=15

限制用户切换 su

vim/etc/pam.d/su

把第六行取消注释

所有普通用户都不能切换用户，无法使用su命令

gpasswd -a dn wheel                          

加入了wheel组的用户才可以切换

sudu机制

dn ALL=(root) /sbin/ifconfig,

这个时候权限虽然放开了，但是还是要输入密码，要想不输入密码就可以sudo实现，必须要加入wheel组

99行要删掉注释