linux安全及应用

北极星光

　　密码安全控制
　　将密码的有效期设为30天：vim/etc/login.defs

　　将有效期30天应该在lisi用户：chage –M30 lisi
　　某些特殊情况下，如要求批量创建的用户初次登录时必须自设密码，根据安全规划统一要求所有用户更新密码，可以有管理员执行强制策略，以便用户在下次登录时必须更改密码：
　　Chage–d 0 lisi
　　命令历史，自动注销。
　　Shell环境的命令历史机制为用户提供了极大的便利。但服务器的安全壁垒多了一个缺口。Bash终端环境中，历史目录的记录条数有变量HISTSIZE控制。默认为1000条。通过修改/etc/profile文件中的HISTSIZE变量值，可以影响系统中的所有用户：

　　还可以修改宿主目录中的~/.bash_logout文件，添加清空历史命令的操作语句：

　　Bash终端环境中，还可以设置一个闲置超时时间，当超过指定的时间没有任何输入时即自动注销终端，可以有效避免当管理员不在时其他人员对服务器的误操作风险。Vim /etc/profile     exportTMOUT=600
　　用户切换与提权
　　su命令主要用来切换用户，而sudo命令用来提升执行权限
　　su命令：切换为指定的另一个用户，从而具有该用户的所有权限。
　　选项“-”等同于“--login”或“-l”，表示切换用户后进入目标用户的登录shell环境，若缺少此选项则及切换身份，不切换用户环境。切换root用户，可以省略。

　　借助于pam_wheel认证模块，只允许各别用户使用su命令切换。实现过程：将授权使用su命令的用户添加到wheel组，修改/etc/pam.d/su认证。

　　sudo命令——提升执行权限
　　通过su命令可以非常方便地切换为另一个用户，但前提条件是必须知道目标用户的登录密码
　　配置文件/etc/sudoers中添加授权
　　Sudo机制的配置文件为/etc/sudoers,文件多大默认权限为440，需使用专门的visudo工具进行编辑。
　　授权的基本配置格式：
　　userMACHINE=COMMANDS
　　用户（user）：授权的用户名，或采用“%组名”的形式
　　主机（MACHINE）：使用此配置文件的主机名称，方便在多个主机间共用同一份sudoers文件，一般设为localhost文件
　　命令（COMMANDS）：允许授权的用户通过sudo方式执行的特权命令，需填写命令程序的完整路径，多个命令之间以逗号进行分隔
　　授权用户较多，或者授权的命令较多时，可以采用集中定义的别名。用户，主机，命令部分都可以定义为别名，分别通过关键字user_Alias，Host_Alias,Cmnd_Alias来进行设置。
　　User_Alias        OPERATORS=jerry,tom,tsengyia
　　Host_Alias        MAILSVRS=smtp,pop
　　Cmnd_Alias      PKGTOOLS=/bin/rpm,/usr/bin/yum
　　OPERATORS     MAILSVRS=RKGTOOLS

　　Sudo配置记录的命令的部分允许使用通配符“*”，取反符号“！”，当需要授权某个目录下的所有命令或取消其中个别命令是特别有用。
　　通过sudo执行特权命令：只需要将正常的命令行作为sudo命令的参数即可。由于特权命令程序通常位于/sbin,/usr/sbin等目录下。普通用户执行是应使用绝对路径。
　　权限不够

　　“sudo -l”命令可以看见已授权用户的sudo配置

　　系统引导和登录控制
　　           开关机安全控制
　　                            调整bios引导设置
　　将第一优化引导设备设为当前系统所在磁盘
　　禁止从其他设备（光盘，U盘，网络等）引导系统，对应先设为“disabled”
　　将bios的安全级别改为“setup”，并设置管理密码，防止未授权修改。
　　禁止ctrl+alt+del快捷键重启
　　快捷键的位置更改为/etc/init/control-alt-delete.conf,注释里面的信息即可。
　　                       限制更改GRUB引导参数。
　　MD5算法加密的字符串：“grub-md5-crypt”
　　引导过程的安全控制，在“/boot/gurb/grub.conf”文件文件可以为GRUB菜单设置一个密码。
　　
　　重新开机按e进入GRUB菜单，直接按e将无法修改引导参数。需要按p键输入正确的GRUB密码。然后按e 添加1. 回车。按b，进入。输入root passwd
　　终端及登录控制
　　/etc/init/tty.conf    //控制tty终端的开启
　　/etc/init/start-ttys.conf    //控制tty终端的开启数量，设备文件
　　/etc/sysconfig/init          //控制tty终端的开启数量，终端颜色
　　禁止root用户登录
　　Linux系统中，login程序会读取/etc/securetty文件，以决定允许root用户从哪些终端登录系统。
　　
　　禁止普通用户登录
　　login程序会检查/etc/nologin文件是否存在，如果存在则拒绝普通用户登录系统。