linux系统安全加固

目录

1、账户安全基本措施

1)系统账户清理

2)密码安全控制

3)命令历史限制

2、用户切换及提权

1)使用 su命令切换用户

2)使用sudo机制提升权限

3、系统引导和安全登录控制

1)开机安全控制

2)终端登录安全控制

4、补充:linux系统安全加固方案

1、账户安全基本措施

1)系统账户清理

a、将非登录用户的shell设置为/sbin/nologin (/sbin/nologin:禁止终端登录)

[root@localhost ~]# grep "/sbin/nologin$" /etc/passwd | wc -l      #统计不能登录系统的用户数量
[root@localhost ~]# grep "/sbin/nologin$" /etc/passwd | awk -F: '{print $1}' > nologin.txt  # 将不能登录系统的用户输出到nologin.txt文件中

b、锁定长期不适用的账号(例如一些用户长期不使用,但是不确认是否删除)

[root@localhost ~]# useradd ami                       #创建用户并且设置密码
[root@localhost ~]# echo "123123" | passwd --stdin ami 
[root@localhost ~]# usermod -L ami                    #锁定用户,锁定后将不能登录
[root@localhost ~]# passwd -S ami                     #查看用户密码状态
[root@localhost ~]# usermod -U ami                    #解锁
[root@localhost ~]# passwd -S ami

c、锁定账号文件/etc/passwd /etc/shadow

假如:服务器账户已经固定,不在进行更改,可以锁定。

[root@localhost ~]# chattr +i /etc/passwd /etc/shadow  				#锁定
[root@localhost ~]# lsattr /etc/passwd /etc/shadow     				#查看文件状态
[root@localhost ~]# useradd xiaoming							    #创建用户测试
[root@localhost ~]# chattr -i /etc/passwd /etc/shadow  				#解锁
[root@localhost ~]# useradd xiaoming								#再次创建用户测试
[root@localhost ~]# echo "123123" | passwd --xiaoming

2)密码安全控制

a、设置密码的有效期

[root@localhost ~]# sed -i 's/PASS_MAX_DAYS 99999/PASS_MAX_DAYS 30/g' /etc/login.defs

适用于已有用户

[root@localhost ~]# chage -M 30 zhangsan

 b、强制在下次登录时更改密码

[root@localhost ~]# chage -d 0 ami

3)命令历史限制

a、减少记录的命令条数

[root@localhost ~]# sed -i '/HISTSIZE=1000/cHISTSIZE=5' /etc/profile
[root@localhost ~]# sed -n '/HISTSIZE=5/P' /etc/profile
[root@localhost ~]# source /etc/profile  				#使其生效
[root@localhost ~]# history  			 				#查看历史记录

b、终端自动注销

在bash终端环境中可以设置一个限制超时时间,当超过指定时间没有任何操作自动注销终端。

[root@localhost ~]# echo "export TMOUT=30" >> ~/.bash_profile		#终端30秒不做任何操作将自动注销
[root@localhost ~]# source ~/.bash_profile   						#使其生效

2、用户切换及提权

1)使用 su命令切换用户

a、用途及用法

格式:su - 目标用户						# 带 - 选项表示将使用目标用户的登录 Shell 环境

b、限制使用su命令的用户

默认都可以使用su命令,姿势允许少量用户使用。

启用pam_wheel认证模块:

[root@localhost ~]# vim /etc/pam.d/su
#%PAM-1.0
auth        sufficient  pam_rootok.so          				# 默认就有
auth        required    pam_wheel.so use_uid   				# 将前面 # 去掉
[root@localhost ~]# grep wheel /etc/group
[root@localhost ~]# su - ami
[zhangsan@localhost ~]$ su -
[zhangsan@localhost ~]$ exit

c、查看su操作记录

安全日志文件:/var/log/secure

[root@localhost ~]# tail /var/log/secure

2)使用sudo机制提升权限

sudo :普通用户拥有一部分管理权限,且不需要知道root密码。

a、sudo命令的用途及用法

用途:已其他用户身份(如root)执行授权的命令。
格式:sudo 执行的授权命令

b、配置sudo授权/etc/sudoers

3、系统引导和安全登录控制

1)开机安全控制

2)终端登录安全控制

a、限制root只在安全终端登录

[root@localhost ~]# sed -i '/tty5/c#tty5' /etc/securetty
[root@localhost ~]# sed -n '/#/p' /etc/securetty
#tty5

b、禁止普通用户登录 (在服务器维护期间临时使用)

创建/etc/nologin文件,login程序会检查该文件是否存在,如果存在,则会拒绝普通用户登录系统。(root用户不受限制)

[root@localhost ~]# touch /etc/nologin

 使用ami用户在终端验证:

删除/etc/nologin文件或者重启即可恢复正常

[root@localhost ~]# rm /etc/nologin

再次使用ami用户在终端验证:

4、补充:linux系统安全加固方案

1、最小化进程启动权限,尽可能使用非root账号启动过程。
2、停用和清理无关无用的服务器和系统服务。
3、仅对必要端口开放互联网访问权限,其他端口仅允许可信任的网络进行访问。
4、服务器、管理后台等账号要设置复杂的密码,并定期跟换。
5、禁止互联网连接服务器 ,管理后台,限制可信任IP访问或通过跳板机安全访问。
6、对系统敏感文件或目录的变化进行事件的监控。
7、对上线的服务器和应用程序进行安全漏洞扫描,及时修复发现的漏洞。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/14120.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

头歌实践教学平台:Junit实训入门篇

第2关:Junit注解 任务描述 给出一个带有注解的Junit代码及其代码打印输出,要求学员修改注解位置,让输出结果变为逆序。 相关知识 Junit注解 Java注解((Annotation)的使用方法是" 注解名" 。借助注解&a…

python数据处理与分析入门-Pandas数据可视化例子

相关内容 Matplotlib可视化练习 Pandas 数据可视化总结 柱状图 reviews[points].value_counts().sort_index().plot.bar()散点图 reviews[reviews[price] < 100].sample(100).plot.scatter(xprice, ypoints)蜂窝图 reviews[reviews[price] < 100].plot.hexbin(xprice…

Helm安装kafka3.7.0无持久化(KRaft 模式集群)

文章目录 2.1 Chart包方式安装kafka集群 5.开始安装2.2 命令行方式安装kafka集群 搭建 Kafka-UI三、kafka集群测试3.1 方式一3.2 方式二 四、kafka集群扩容4.1 方式一4.2 方式二 五、kafka集群删除 参考文档 [Helm实践---安装kafka集群 - 知乎 (zhihu.com)](https://zhuanlan.…

virtualbox共享文件夹没有访问权限

设置好共享文件夹之后&#xff0c;进入虚拟机&#xff0c;共享文件夹的地址是/media/sf_shared。 想要使用cd命令进入该文件夹时&#xff0c;你可能会发现此文件夹无法访问&#xff0c;系统提示的原因是权限不足。 在虚拟机下查看共享文件夹的属性&#xff0c;发现该目录的所…

Nginx - 健康检查终极指南:探索Upstream Check模块

文章目录 概述upstream_check_module模块安装和配置指南模块安装步骤基本配置示例详细配置说明检查类型和参数常见问题及解决方案 SSL检查和DNS解析功能SSL检查配置示例和说明配置示例 DNS解析配置示例和说明配置示例 结合实际应用场景的高级配置示例综合SSL检查与DNS解析 总结…

Doris【部署 03】Linux环境Doris数据库部署异常问题收集解决(不断更新)

Linux环境Doris数据库部署异常问题 1.FE1.1 Unknown system variable character_set_database1.2 notify new FE type transfer: UNKNOWN1.3 mysql_load_server_secure_path1.4 Only unique table could be updated1.5 too many filtered rows 2.BE2.1 Have not get FE Master …

python:大文件分批/块导入数据库方式记录

一、问题背景 对于数据文件比较大的数据&#xff0c;一次性串联sql进行入库&#xff0c;往往会受到数据库本身对sql长度的限制&#xff0c;从而需要分块或者分批次&#xff0c;将大数据文件一点一点的进行入库。特针对这种入库方式&#xff0c;进行一个简单记录&#xff0c;各…

spring的控制反转(IoC)容器作用是什么?

控制反转&#xff08;Inversion of Control&#xff0c;IoC&#xff09;容器是一种强大的设计模式&#xff0c;在现代软件开发&#xff0c;特别是在使用Spring框架等企业级Java应用中至关重要。IoC容器主要作用是管理应用程序中对象的生命周期和依赖关系。我会逐步解释它的作用…

YOLOv8改进 | 主干网络 | 增加网络结构增强小目标检测能力【独家创新——附结构图】

💡💡💡本专栏所有程序均经过测试,可成功执行💡💡💡 在目标检测领域内,尽管YOLO系列的算法傲视群雄,但在某些方面仍然存在改进的空间。在YOLOv8提取特征的时候,由于卷积的缘故,会导致很多信息的丢失。对于小目标来说更是如此,这样将大幅度降低小目标的检测能…

pinpoint服务监控

Pinpoint是一个开源的APM&#xff08;应用性能管理&#xff09;系统&#xff0c;主要用于监控和管理Java应用程序的性能。它提供了实时的性能指标、分布式追踪和诊断等功能&#xff0c;帮助开发和运维快速定位和解决应用程序中的性能问题。 pinpoint其他部分不变&#xff0c;H…

正确可用--Notepad++批量转换文件编码为UTF8

参考了:Notepad批量转换文件编码为UTF8_怎么批量把ansi转成utf8-CSDN博客​​​​​​https://blog.csdn.net/wangmy1988/article/details/118698647我参考了它的教程,但是py脚本写的不对. 只能改一个.不能实现批量更改. 他的操作步骤没问题,就是把脚本代码换成我这个. #-*-…

graspnet+Astra2相机实现部署

graspnetAstra2相机实现部署 &#x1f680; 环境配置 &#x1f680; ubuntu 20.04Astra2相机cuda 11.0.1cudnn v8.9.7python 3.8.19pytorch 1.7.0numpy 1.23.5 1. graspnet的复现 具体的复现流程可以参考这篇文章&#xff1a;Ubuntu20.04下GraspNet复现流程 这里就不再详细…

数据库系统概论(第5版)复习笔记

笔记的Github仓库地址 &#x1f446;这是笔记的gihub仓库&#xff0c;内容是PDF格式。 因为图片和代码块太多&#xff0c;放到CSDN太麻烦了&#xff08;比较懒&#x1f923;&#xff09; 如果感觉对各位有帮助的话欢迎点一个⭐\^o^/

41-4 DDOS攻击防护实战

一、UDP FLOOD攻击 # hping3 -q -n -a <攻击IP> -S -s <源端口> --keep -p <目的端口> --flood <被攻击IP> hping3 --udp -s 6666 -p 53 -a 192.168.1.6 --flood 192.168.1.13 这个命令是使用hping3工具进行UDP Flood攻击的命令。下面是各个选项的作…

three.js能实现啥效果?看过来,这里都是它的菜(06)

这是第五期了&#xff0c;本期继续分享three.js可以实现的3D动画案例&#xff0c;有老铁反馈再发案例的时候&#xff0c;是否可以顺道分享一下three.js的知识点&#xff0c;好吧&#xff0c;安排。 材质动画 材质动画可以实现各种复杂的视觉效果&#xff0c;包括但不限于以下…

【css】引入背景图时候,路径写入@会报错

看报错信息 我的写法 解决办法 在前面加个~

js解决数字小数计算出现的精度丢失问题(2024-05-24)

精度丢失的原因 js小数进行数值运算时出现精度丢失问题 JavaScript 的number类型在进行运算时都先将十进制转二进制&#xff0c;此时&#xff0c;小数点后面的数字转二进制时会出现无限循环的问题。 为了避免这一个情况&#xff0c;要舍0进1&#xff0c;此时就会导致精度丢失…

企业宽带跑pcdn会被查吗?

企业宽带使用PCDN技术&#xff0c;本身并不违反相关规定&#xff0c;因此一般不会被查。PCDN是一种内容分发网络技术&#xff0c;通过将内容缓存在离用户更近的服务器上&#xff0c;减少数据传输的延迟&#xff0c;提高访问速度。这种技术可以提高网页加载速度和视频播放流畅度…

Excel未响应时强关后,Excel插件消失

目录 我们分析一下插件消失的原因&#xff1a; 针对上面表现出来的2个问题&#xff0c;进行针对性的解决 &#xff1a; 1、不被关进去&#xff0c;是不是就没有后续的一系列的问题了&#xff0c;各自安好 2、保留住自动加载的行为 PS&#xff1a;配置受信任的位置注册列表…

2024电工杯B题保姆级分析完整思路+代码+数据教学

2024电工杯B题保姆级分析完整思路代码数据教学 B题题目&#xff1a;大学生平衡膳食食谱的优化设计及评价 接下来我们将按照题目总体分析-背景分析-各小问分析的形式来 总体分析&#xff1a; 题目要求对两份一日膳食食谱进行营养分析和调整&#xff0c;然后设计优化的平衡膳…