基础安全措施
锁定文件
使用chattr 命令 结合 +i -i 选项来锁定,解锁文件,使用lsattr 命令可以查看文件锁定情况
示例
账户文件若处于锁定状态,文件内容查看不了
密码安全控制
图上命令创建了一个三十天过期的账户
输入 chage -d 0 lisi 命令lisi账户下次登陆必须要修改密码
自动清空历史命令及自动注销
编辑 /etc/profile 文件找到 HISTSIZE=1000 更改数值即可控制命令存储历史记录 历史记录默认存储1000条 编辑文件可以影响到所有用户
或者输入命令 export HISTSIZE=200 来进行更改数值 命令只能影响到当前用户
此外还可以修改 ~/.bash_logout 文件,添加清空命令,这样用户推出历史命令即可清空
在bash 终端环境中,还可以设置一个闲置超时时间,当超过指定时间没有任何输入时自动注销终端
vi /etc/profile 找到 export=600 更改文件影响全局
export TMOUT=600 输入命令影响当前用户
用户切换与提权
切换用户命令 su 和 sudo
su 与 sudo 的区别
su:需要输入目标用户的密码,完全切换到目标用户,开启新的用户会话,完全提升用户权限
sudo:需要输入当前用户的密码,以目标用户(通常是root)的权限执行单个命令,但不切换用户。临时提升用户权限
su 与 sudo 要限制其他用户使用该命令来提升安全性,允许极个别用户使用
修改su 的使用权限 ,把个别用户加入wheel 组,然后借助pam_wheel认证,届时不是wheel 组的用户,使用不了su
将用户加入wheel 组 ,后修改/etc/pam.d/su文件
将auth前面的#删掉即可
现在提示权限不足
sudo 可以指定个别人员使用sudo 需要修改 /etc/sudoers
格式 :user MACHINE=COMMANDS
用户(user):直接授权指定的用户名,或采用“%组名”的形式授权一个组的所有用户
主机(MACHINE):使用此配置文件的主机名称。此部分主要是方便在多个主机间共用同-份 sudoers 文件,一般设为 localhost 或实际的主机名即可。
命令(COMMANDS):允许授权的用户通过sudo 方式执行的特权命令,需填写命令程序的完整路径,多个命令之间以逗号",”进行分隔。
当前lisi账户是没有权限的,
更改完成后有权限了
系统引导和登录安全控制
调整BIOS引导设置
(1)将第一优先引导设备(FirstBootDevice)设为当前操作系统所在磁盘。
(2)禁止从其他设备(如光盘、U盘、网络等)引导操作系统,对应的项设为“Disabled
(3)将 BIOS的安全级别改为“setup”,并设置好管理密码,以防范未授权的修改。
禁止 CTRL + Alt + Del 组合键
组合键重启功能为服务器的本地维护提供了便利,但对于多终端登录的 Linux 服务器而言,禁用此功能是比较安全的选择。在Cent0S7操作系统中,执行“cat/etc/nitab”命令可知 Cul+Alt+Del组合键功能由/usr/lib/systemd/system/ctrl-alt-del.target 文件进行设置。查看/usr/lib/systemdsystem/ctrl.alt-del.target 文件发现,ctrl-alt-del.target是reboot,target 文件的软链接文件。
示例
在不影响 reboot.target 文件前提下执行下图命令即可禁用 CTRL + Alt + Del 快捷组合键
终端控制登录
在 Limux 服务器中,默认开启了6个ty 终端,允许任何用户进行本地登录。关于本地登录的安全控制,可以从以下几个方面着手。
在 Linux 操作系统中,login 程序会读取/etc/securetty 文件,以决定允许 root 用户从哪些终端(安全终端)登录系统。若要禁止 root用户从指定的终端登录,则只需从该文件中删除或注释掉对应的行即可。例如,若要禁止root用户从ty5、tty6登录,则可以修改/etc/securetty 文件,将ty5、tty6 行注释掉。
禁止root 用户登录
vi /etc/securetty
禁止普通用户登录
当服务器正在进行备份或调试等维护工作时,可能不希望再有新的用户登录系统。此时,只需简单地建立/etc/nologin 文件即可。login 程序会检查/etc/nologin 文件是否存在,如果存在,则拒绝普通用户登录系统(root用户不受限制)。
touch /etc/nologin
此方法实际上是利用了 shutdown 延迟关机的限制机制,只建议在服务器维护期间临时使用。当手动删除/etc/nologin 文件或重新启动主机以后,即可恢复正常。