系统安全及应用

1、基本安全措施

1.1、系统账号清理

        在Linux系统中,除了用户手动创建的各种账号之外,还包括随系统或程序安装过程而生产的其他大量账号。除了超级用户root之外,其他大量账号只是用来维护系统运作、启动或保持服务进程,一般是不允许登录的,因此也称为非登录用户账号。

        常见的非登录用户账号包括bin、daemon、adm、lp、mail等。为了确保系统安全,这些用户账号的登录Shell通常是"/sbin/nologin",表示禁止终端登录。

[root@localhost ~]# grep "/sbin/nologin" /etc/passwd
bin:x:1:1:bin:/bin:/sbin/nologin
······//省略输出内容

        各种非登录用户账号中,还有相当一部分是很少用到的,如games。这些用户账号可以视冗余账号,直接删除即可。除此之外,还有一些随应用程序安装的用户账号,若下载程序以后未能自动删除,则需要管理员手动进行清理。

[root@localhost ~]# usermod -L zhangsan  //锁定账号
[root@localhost ~]# passwd -S zhangsan  //查看账号状态
zhangsan LK 2024-01-05 0 99999 7 -1 (密码已被锁定。)
[root@localhost ~]# usermod -U zhangsan  //解锁账号
[root@localhost ~]# passwd -S zhangsan 
zhangsan PS 2024-01-05 0 99999 7 -1 (密码已设置,使用 SHA512 算法。)

        如果服务器中的用户账号已经固定,不在进行更改,还可以采取锁定账号配置文件的方法。使用chattr命令,分别结合"+i""-i"选项来锁定、解锁文件,使用lsattr命令可以查看文件锁定情况。

[root@localhost ~]# chattr +i /etc/passwd /etc/shadow  //锁定文件
[root@localhost ~]# lsattr /etc/passwd /etc/shadow  //查看为锁定的状态
----i----------- /etc/passwd
----i----------- /etc/shadow
[root@localhost ~]# chattr -i /etc/passwd /etc/shadow  //解锁文件
[root@localhost ~]# lsattr /etc/passwd /etc/shadow  //查看为解锁的状态
---------------- /etc/passwd
---------------- /etc/shadow

        在账号文件被锁定的情况下,其内容将不允许变更,因此无法添加、删除账号,也不能更改用户的密码、登录Shell、宿主目录等属性信息。

[root@localhost ~]# chattr +i /etc/passwd /etc/shadow
[root@localhost ~]# useradd lisi
useradd:无法打开 /etc/passwd

2、密码安全控制

        在不安全的网络环境中,为了降低密码被猜出或被暴力破解的风险,管理元可以在服务器端限制用户密码的最大有效天数,对于密码已过期的用户,登录时将被要求重新设置密码,否则将解决登录。

[root@localhost ~]# vim /etc/login.defs  //适用于新建的用户
PASS_MAX_DAYS   30
[root@localhost ~]# chage -M 30 lisi  //适用于已有的lisi用户

        在某些特殊情况下,如要求批量创建的用户初次登录时必须自设密码,根据安全规划同一要求所有用户更新密码等,可以由管理员执行强制策略,以便用户在下次登录时必须更改密码。

[root@localhost ~]# chage -d 0 zhangsan 更改用户 zhangsan 的密码 。
为 zhangsan 更改 STRESS 密码。
(当前)UNIX 密码:
新的 密码:
重新输入新的 密码:
passwd:所有的身份验证令牌已经成功更新。

3、命令历史、自动注销

        Bash终端环境中,历史命令的记录跳数由变量HISTSIZE控制,默认为1000条。通过修改/etc/profile文件中的HISTSIZE变量值,可以影响系统中的所有用户。

[root@localhost ~]# vim /etc/profile  //适用于新登录用户
······ //省略部分内容
HISTSIZE=1000
[root@localhost ~]# export HISTSIZE=200  //适用于当前用户

        除此之外,还可以修改用户宿主目录中的~/.bash_logout文件,添加清空历史命令的操作语句。这样,当用户退出已登录Bash环境以后,所记录的历史命令将自动清空。

[root@localhost ~]# vim .bash_logout 
history -c
clear

        Bash终端环境中,还可以设置一个闲置超时时间,当超过指定的时间没有任何输入时即自动注销终端,这样可以有效避免当管理员不在时其他人员对服务器的误操作风险。闲置超时由变量TMOUT来控制,默认单位为秒(s)

[root@localhost ~]# vim /etc/profile  //适用于新登录用户
export TMOUT=600
[root@localhost ~]# export TMOUT=600  //适用于当前用户

        需要注意的是,当正在执行程序代码编译,修改系统配置等耗时较长的操作时,应避免设置TMOUT变量,必要时可以执行"unset TMOUT"命令取消TMOUT变量设置。

4、用户切换与提权

4.1、su命令——切换用户

        使用su命令,可以切换为指定的另一个用户,从而具有该用户的所有权限

[zhangsan@localhost ~]$ su - root  
密码:  //输入用户root的密码
上一次登录:五 1月  5 16:46:55 CST 2024从 192.168.136.1pts/1 上
[root@localhost ~]#    //验证成功后获得root权限

        默认情况下,任何用户都允许使用su命令,从而有机会反复尝试其他用户的登录密码,可以借助于pam_wheel认证模块,只允许极个别用户使用su命令进行切换

[root@localhost ~]# gpasswd -a zhangsan wheel  //将zhangsan添加到wheel组中
正在将用户“zhangsan”加入到“wheel”组中
[root@localhost ~]# grep wheel /etc/group  //确认wheel组成员
wheel:x:10:zhangsan
[root@localhost ~]# vim /etc/pam.d/su
auth            sufficient      pam_rootok.so
auth            required        pam_wheel.so use_uid

        启用pam_wheel认证以后,未加入到wheel组内的其他用户将无法使用su命令,尝试进行切换时将提示"解决权限"

[lisi@localhost ~]$ su - root
密码:
su: 拒绝权限
[lisi@localhost ~]$ 

4.2、sudo命令——提升执行权限

1)在配置文件/etc/sudoers中添加授权

        sudo机制的配置文件为/etc/sudoers,文件的默认权限为440,需使用专门的visudo工具进行编辑。

        授权用户lisi能够执行ifconfig命令来修改IP地址,而wheel组的用户无需验证密码即可执行任何命令。

[root@localhost ~]# visudo 
lisi    localhost=/sbin/ifconfig
%wheel  localhost=NOPASSWD: ALL

        若要查看用户自己获得哪些sudo授权,可以执行"sudo -l"命令

[lisi@localhost ~]$ sudo -l
[sudo] lisi 的密码:用户 lisi 可以在 localhost 上运行以下命令:(root) /sbin/ifconfig

        如果已经启用sudo日志,则可以从/var/log/sudo文件中看到用户的sudo操作记录

[root@localhost ~]# tail /var/log/sudo

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/601468.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

C++学习笔记(二十五):c++ 智能指针

c中的内存的分配和释放是由程序员自己规划。智能指针不需要自己去delete一个new的对象,会自动释放对应的内存空间。unique_ptr:作用域指针,超出作用域后自动释放分配的内存区域。unique是指唯一,不能复制一个unique_ptr指针&#…

Java:Lambda表达式、方法引用

文章目录 1、Lambda表达式1.1 Lambda表达式体验1.2 Lambda表达式的省略形式1.3 Lambda表达式练习 2、方法引用体验3、方法引用符4、引用静态方法5、引用对象的实例方法6、引用类的实例方法7、引用构造方法8、引用数组的构造方法9、方法引用练习9.1 练习19.2 练习29.3 练习3 10、…

【测试开发】自动化测试selenium

文章目录 目录 文章目录 前言 一、自动化测试与selenium selenium介绍 二、如何使用selenium IDE录制脚本 1.安装Selenium IDE 2.seleniumpython环境搭建 3.webdriver API 前言 自动化测试指软件测试的自动化,在预设状态下运行应用程序或者系统,预设条…

优势演员-评论家算法 A2C

优势演员-评论家算法 A2C 优势演员-评论家算法 A2C主要思想目标函数 优势演员-评论家算法 A2C 前置知识:演员-评论家算法:多智能体强化学习核心框架 主要思想 AC 网络结构: 策略网络 - 演员: 这个网络负责根据当前的状态选择动作。它输出的是…

leetcode——杨辉三角

https://leetcode.cn/problems/pascals-triangle/ 杨辉三角: 给定一个非负整数 numRows,生成「杨辉三角」的前 numRows 行。 在「杨辉三角」中,每个数是它左上方和右上方的数的和。 核心思想:找出杨辉三角的规律,发…

案例098:基于微信小程序的电子购物系统的设计与实现

文末获取源码 开发语言:Java 框架:SSM JDK版本:JDK1.8 数据库:mysql 5.7 开发软件:eclipse/myeclipse/idea Maven包:Maven3.5.4 小程序框架:uniapp 小程序开发软件:HBuilder X 小程序…

Apache Paimon:Streaming Lakehouse is Coming

摘要:本文整理自阿里云智能开源表存储负责人,Founder of Paimon,Flink PMC 成员李劲松(花名:之信)、同程旅行大数据专家,Apache Hudi & Paimon Contributor 吴祥平、汽车之家大数据计算平台…

(一)为什么要选择C++

如果要说C的优点,大部分人可能会说C 跨平台,性能好,如果要说C缺点那估计很多人可以说出一大堆。 没有官方包管理工具没有官方构建工具,虽然cmake 横空出世,有一统江湖的趋势,但是很多项目还是没有cmake支持…

JavaScript-变量数据类型-笔记

1.变量的使用 ① 先声明 再赋值 声明:var 变量名 在声明时不知道数据类型 赋值:变量名 值 在赋值时 知道数据类型 ② 初始化: 在声明变量时 就进行赋值 var 变量名 值 2.变量名在使用时 不能加引号 3…

18.Linux Shell中的mktemp命令使用

文章目录 Linux Shell创建临时文件在工作目录创建临时文件在/tmp 目录创建临时文件3)创建临时目录 欢迎访问个人网络日志🌹🌹知行空间🌹🌹 Linux Shell创建临时文件 Linux的/tmp目录用来存放不需要永久保留的文件。大多数Linux发…

前置判断-Detection

检测模型回答存在幻觉可以通过检索外部知识进行校验,不过考虑生成式模型覆盖问题的广泛性,Self-Contradictory论文中评估chatgpt生成的回答中38.5%的内容无法通过Wiki等外部知识进行校验。 因此这里我们先介绍一种完全基于模型自身,不依赖外…

PCL 切片法实现点云模型的体积测量、面积测量(二)

目录 一、算法概述二、代码示例三、结果示例接上篇 PCL 点云模型的体积测量、面积测量(一) 一、算法概述 适用:通过VTK进行切片法,实现点云模型的体积测量、面积测量。 思路:1. 首先,使用vtk中的vtkPlane类来设置切割平面;2. 再使用vtk中的vtkCutter类切割vtkPolyData;…

多线程第一课---

UML中规定的箭头方向是从子类指向父类。 关于这一点,按照以下方法去理解有助于大家记住这条规则。 在定义子类时需要通过extends关键字指定父类。因此, 子类一定要知道父类的定义,而反过来,父类并不知道子类的定义。 只有在知道对…

51单片机串行口相关知识

51单片机串行口相关知识 串行通信概念 计算机与外部通信方式就两种: 并行通信串行通信 两种通信方式的特点以及适用场景: 名称特点适用场景并行通信速度快,效率高,成本高适合短距离高速通信,如计算机内部各硬件之…

数据库查询唯一值的两种方式和遍历原理

数据库的遍历 数据库遍历通常是通过执行查询语句来实现的,这些查询语句使用 SELECT 关键字来检索表中的数据。遍历的具体实现取决于查询的条件、排序方式和是否使用了索引等因素。 以下是一个简单的 SQL 查询语句,用于遍历数据库中的数据: …

基于日照时数计算逐日太阳辐射

基于日照时数计算逐日太阳辐射

ubuntu 2020 配置root用户直接登录

一、前言 ubuntu出于安全性的考虑,禁止root用户直接登录。不仅体现在ssh协议上,还有其图形化页面root用户直接登录时也无法直接登录。博主处于特殊的使用场景需要开启root用户直接登录,故进行下面配置,一般情况下不建议开启此配置…

【SpringCloud】之远程消费(进阶使用)

🎉🎉欢迎来到我的CSDN主页!🎉🎉 🏅我是君易--鑨,一个在CSDN分享笔记的博主。📚📚 🌟推荐给大家我的博客专栏《SpringCloud开发之远程消费》。🎯&a…

pythonMatplotlib四:Matplotlib设置图的样式和颜色

1.设置线条样式: import matplotlib.pyplot as plt# 准备数据 x [1, 2, 3, 4, 5] y [2, 4, 6, 8, 10]# 创建折线图并设置线条样式 plt.plot(x, y, linestyle--, linewidth2)# 添加标题和标签 plt.title("折线图示例") plt.xlabel("X轴") plt…

文件属性stat

stat/fstat 获取文件属性#include <sys/stat.h> int stat(const char* path,struct stat* buf); //path : 路径 , buf : 属性&#xff1b;int fstat(int fd,struct stat* buf); //fd : 文件描述符 , buf : 属性&#xff1b;struct stat {dev_t st_dev; /* ID of…