十一、系统安全及应用

chsh命令可直接对登录的用户进行修改

chsh yunjisuan显示用户的登录情况

后面写/sbin/nologin 用户状态被改变，改成不能登录

将非登录用户的shell设为/sbin/nologin的四种方法：

方法一：usermod -s

方法二： chsh命令，交互式修改，用来修改用户登录情况

方法三： chsh -s

方法四：vim /etc/passwd

 

二、锁定账号和解锁：

方法一：passwd -l 用户名  密文前会出现2个！ 解锁passwd -u 查看passwd –S

方法二：usermod -L 用户名  密文前会出现1个！解锁usermod -U

 

三、删除账号及其目录：

userdel -r 用户名

 

===========================================================

四、I锁锁定账号：

工作中用的事例：

 

查看I锁定lsattr  test

加锁：chattr +i test  解锁：chattr –i  test（超级用户）

i锁不允许修改文件，只能读。

i锁主要用在passwd文件上，不让创建用户

工作中用i锁保证安全

五、A锁锁定

chattr  +a  test

A锁只能追加内容不能修改 不能VIM

也是用在passwd文件上，只能创建用户不能修改用户

六、密码安全控制：

1、设置密码有效期

修改某个已存在用户的密码有效期：

chage -M 天数 用户名

passwd -x 天数 用户名

2、设置今后添加用户时的默认密码有效期：

方法一：

vim编辑/etc/login.defs文件，修改“PASS_MAX_DAY”后面的数值

 

 

方法二：

vim编辑/etc/shadow文件，修改第五部分

3、要求用户下次登录时修改密码

方法：chage -d 0 用户名

 

   =======================================================

七、history查看历史命令

history  -c清空历史命令（为了安全）

1、减少历史的命令条数

方法一：

vim编辑/etc/profile文件（系统全局变量文件，所有和变量相关的命令都放在这个文件中），修改“HISTSIZE=”后面的数值

 

方法二：

 export HISTSIZE=数值（仅当前环境用户下生效）

2、注销时自动清空历史命令

方法：vim编辑宿主目录下的“.bash_logout”文件，添加“history -c”

3、终端自动注销

方法一：vim编辑/etc/profile文件，添加“TMOUT=数值”

方法二： export TMOUT=数值（仅当前环境用户下生效）

八、更改端口号

在/etc/ssh/目录下

# vim sshd_config

在port 22处更改端口号（工作中一般将端口号设置为一万以上）

 

不允许root用户远程登录

九、环境变量配置文件位置

/etc/profile

系统全局变量文件，所有和变量相关的我们都应该放在这里（一旦在这里面修改文件，所有登录用户都受影响，因为是全局的）

=========================================================

TMOUT=600 当手离开键盘，没有任何输入的时候，Linux默认退出登录

==========================================================

十、su命令

1、概述

工作中禁止超级用户远程登录，vim /etc/ssh/sshd_config文件中设置端口号（工作中端口号设置一万以上），禁止登录远程登录root，超级用户只能切换使用。

su+用户名切换用户

超级用户切换普通用户不需要密码，普通用户切换超级用户需要

2、su命令用法

su 【选项参数】【用户】 

su  -  用户名   系统环境变量会重置成指定用户的

su  -  用户名  -c  加cmd  ：

临时切换用户一次，执行命令一次，然后把结果显示回来，仍旧是当前用户。

su -m 切换用户时，不重置用户环境

su -s 若/etc/shell允许，则运行指定的shell

su命令常用在/etc/rc.local

vim  /etc/rc.local

su  - 用户 -c 命令  实现以普通用户实现进程，安全操作，表示仅限在xx用户下启动的服务命令脚本

3、查看su操作记录

安全日志文件：/var/log/secure

# tar /var/log/secure|less

4、su命令的缺点

su命令的缺点：在使用su命令时，不指定用户名默认切换至root用户，需要经常输root用户密码，但实际生产中root密码是不可以被广泛告知的。如果需要执行root用户才有权限的命令，需要通过sudo命令或wheel组的设置来实现。

exit退出用户

********************************************************

一般大企业核心进程都是用普通用户启动，为了安全

===========================================================

十一、sudo命令

配置文件:  ll /etc/sudoers

1、输入visudo命令用来修改sudo配置文件

 

去配置文件给普通用户授权

 

第一个ALL代表IP（限制IP） 第二个代表主机名（工作中一般不用，直接等号后面不输入即可）  第三个ALL代表限制命令，在第三个ALL上授权的命令必须要==>（绝对路径）

 

visudo  -c    检查sudo配置文件是否有错误

 

 

2、sudo  -l 普通用户用来查看自己的sudo权限

这时候普通用户有sudo命令权限，使用超权限命令时，命令前加sudo

Eg：sudo ls /root

最后一个ALL 是限制命令的意思：

 

给普通用户yunjisuan开通fdisk命令

===========================================================

3、授权多个命令及安全用法

命令之间加逗号

===========================================================

授权许多命令：授权/sbin下的所有命令，唯独不让使用reboot

 

 

允许用户分区，但是禁止破坏系统

 

对普通用户授权：只看日志

 

！！！但是“看”的命令不仅仅是cat，还有more、less、head、tail、tac、sed、awk等，需要将它们全部授权（绝对路径）。

开发不一定会哪个看，所以要把所有的“看”全部授权

4、使用命令直接修改sudo

（1）直接修改/etc/sudoers(不推荐)

 

上面的方法需要的注意事项

 

（2）使用用户组的方式实现sudo授权

 

 

（3）别名用法

 

十二、开关机安全控制

调整BIOS引导设置

 

禁用重启热键Ctrl+ALT+Del

 

# init q 不重启，即时生效配置文件

Grub菜单限制

 

 

密码设置方式

将明文密码设为密文

grub-md5-crypt命令获取加密密码串

 

将加密密码串复制进/etc/grub.conf文件

终端登录安全控制

减少开放终端个数

vim编辑两个配置文件：/etc/init/start-ttys.conf和/etc/sysconfig/init

 

 

 

限制root只在安全终端登录

vim编辑/etc/securetty配置文件，将禁止的终端注解掉（在注解的终端前加#号）

禁止普通用户登录

touch /etc/nologin，删除/etc/nologin 这个空文件即可恢复（rm -f /etc/nologin）。

NMAP端口检测

 

Nmap -sS  TCP同步扫描（TCP SYN）

-sT  TCP连接扫描

-sn  不进行端口扫描，只检查主机正在运行

-sU  扫描UDP端口

-sV  探测服务版本信息

-Pn  只进行扫描，不ping主机

-PS  使用SYN包对目标主机进行扫描，默认是80端口，也可以指定端口，格式为-PS22或-PS22-25,80,113,1050,35000,记住PS和端口号之间不要有空格

-PU  使用UDP ping扫描端口

-O  激活对TCP/IP指纹特征的扫描，获得远程主机的标志，也就是操作系统类型

-v  显示扫描过程中的详细信息

-S  设置扫描的源IP地址

-g part  设置扫描的源端口

-oN  把扫描的结果重定向到文件中