Linux系统安全与应用

补充：重定向

类型                                                              操作符                                                                    用途
重定向输入                                                      <                                                    从指定的文件读取数据，而不是从键盘输入
重定向输出                                                    1>                                                    将输出结果保存到指定的文件(覆盖原有内容)
追加                                                               >>                                                    将输出结果追加到指定的文件尾部
标准错误输出                                                 2>                                                   将错误信息保存到指定的文件(覆盖原有内容)
标准错误输出结果追加到指定的文件尾部     2>>                                                  将错误信息追加到指定的文件中
混合输出                                                       &>                                                    将标准输出、标准错误的内容保存到同一个文件中
实例操作：

1.系统账号清理

1）将非登录用户shell设为/sbin/nologin

 

 

2）锁定长期不使用的账号

usermod -L 用户名 

passwd -l 用户名 

3）解锁用户账号

passwd -u 用户名

usermod -U 用户名 

 

 

4）删除无用的账号

userdel -r [用户名]

 

 

5）锁定账号文件passwd、shadow

锁定：chattr  +i  /etc/passwd  /etc/shadow

解锁：chattr  -i  /etc/passwd  /etc/shadow

查看：lsattr  /etc/passwd /etc/shadow

 

 

2.密码安全：

1.修改用户密码

1）echo 密码 | passwd --stdin 用户名

2）passwd 用户名

 

 

2.设置密码有效期：

1）对新建用户设置：vim  /etc/login.defs

               PASS_MAX_DAYS   30

 

 

2）chage命令

命令格式：

chage  [选项]  用户名

常用选项                                                                              说明

-d                                                                              指定密码最后修改日期

-E                                                                              密码到期的日期，过了这天，此账号将不可用。0表示马.上过期, -1表示永不过期。

-h                                                                              显示帮助信息并退出

-l                                                                               密码过期后，锁定账号的天数

-i                                                                               列出用户以及密码的有效期

-m                                                                             密码可以更改的最小天数。为零代表任何时候都可以更改密码。

-M                                                                             密码保持有效的最大天数。

-W                                                                           密码过期前，提前收到警告信息的天数。

例子：

对已创建的用户：chage  -M  30  用户名

用户下次登录时修改密码：chage  -d  0  用户名

 

历史命令限制：

1）减少命令历史数量：

vim /etc/profile(修改配置文件)

HISTSIZE=200（此命令可添加export,即全局有效）

2）自动清空历史命令：history  -c

3）终端自动注销：TMOUT=10（秒）

2、su命令安全

切换用户

su  用户名：切换用户但不更改环境变量

su -  用户名：完整切换

 

 

普通用户切换其他用户需要对方密码

root用户切换无需密码

 

限制用户使用su命令：

启用pam_wheel模块，只允许wheel组用户使用su命令

gpasswd  -a  用户名  wheel  （将用户加入组）

vim  /etc/pam.d/su

#auth  required  pam_wheel.so use_uid （删除#号）

 

 

 

 

3、sudo：提升权限

命令：sudo  授权命令的绝对路径

需要输入本人密码

sudo配置文件：/etc/sudoers

打开方式：visudo

vim  /etc/sudoers

格式：用户列表  主机名列表=权限列表  

例子：用户名  ALL=/usr/sbin/useradd

%组名：代表组    ALL代表所用   *匹配任意

NOPASSWD：命令：无需密码就可执行

列表设置为别名：User_alias（用户）

                             Host_alias（主机）

                             Cmnd_alias（命令）

命令格式：用户        主机     =     命令

sudo  -l：查看sudo命令权限

sudo  -k：清除密码缓存，默认缓存5分钟

日志文件：/var/log/sudo

需要defaults  logfile配置

（defaults  logfile=/var/log/sudo）

 

 

 

 

 

4、开关机安全

1）调整Bios设置：

禁止从其他设备引导

设置Bios密码

2）禁用Ctrl+Alt+Del重启

vim  /etc/init/control-alt-delete.conf

3）grub菜单限制：

在title前设置密码：禁止更改参数

在title后设置密码：禁止进入系统

密码方式：明文：passwd密码

密文：用grub-md5-crypt生成

vim  /boot/grub/grub.conf

Password  -md5  密码字串

 

 

5、终端安全登录：

1）减少开放的终端数：/etc/init/start-ttys.conf

                     /etc/sysconfig/init

                      ACTIVE_CONSOLES=/dev/tty[456]

2) 限制root用户使用的终端：/etc/securetty

3) 禁止普通用户登录：建立/etc/nologin文件   touch  /etc/nologin

删除即可恢复登录   rm -f  /etc/nologin

6、系统弱口令检测：Joth  the  Pipper  简称JR

开源软件：支持字典式的暴力破解，支持des和md5的加密破解

命令名为：john

破解命令：./john  --wordist=password.lst  /etc/shadow

--wordist（指定密码文件）

Password.lst（默认字典文件）

破解后密码保存在john.pot文件中，可用./john  --show  /etc/shadow查看