linux系统安全详解

yrtew

                      与系统安全相关的几个文件：
/etc/shells                 //可用shell环境
/etc/passwd                //用户账号信息
/etc/shadow                //用户密码信息
/etc/group                //组信息
/var/log/secure                //su日志信息
/etc/sysconfig/network        //主机名配置文件


锁定用户密码：
usermod -L username                       
passwd -l username

解锁用户密码：
usermod -U username
passwd -u username
passwd -S                //查看用户状态


用户文件管理：
/etc/skel                //所有用户家目录的模板目录
.bash_profile                //登录系统时执行
.bash_logout                //注销时执行
.bashrc                        //切换shell时执行




文件锁定：
chattr  +i    file                //锁定文件
chattr  -i    file                //解锁文件
lsattr                                //查看文件状态


用户密码管理：
chage -d 0  username                //强制用户下一次登录必须更改密码
chage -M 30 username                //设置用户密码有效期
sed -i 's/^PASS_MAX_DAYS.*/PASS_MAX_DAYS   30/' /etc/login.defs        //以后创建的用户密码默认有效期为30天


命令历史管理：
history                                                        //查看命令历史
history  -c                                                //清空命令历史
sed -i 's/HISTSIZE.*/HISTSIZE=10/' /etc/profile                //修改命令历史的默认条数为10条
echo 'export TMOUT=600' >> /etc/profile                        //设置终端在600毫秒没有操作将注销用户
. /etc/profile                                                //读取配置文件使修改的配置生效


su命令管理：
su -l username                        //切换用户
echo 'auth   required   pam_wheel.so  use_uid' >> /etc/pam.d/su                //设置指定用户才能使用su切换用户
gpasswd -a username  wheel                //将允许使用苏命令的用户添加到wheel组中



sudo命令详解：
sudo：当前用户，能够以另外一个指定用户，在指定的主机上，执行指定的命令

配置文件：/etc/sudoers,sudo的定义文件,一般使用visudo去编辑sudoers文件,visudo会自动检查语法
授权用户    允许登录主机=(以什么用户身份运行,一般为root)     运行命令

例：lisi    ALL=(root)     /sbin/ifconfig        //允许lisi用户在所有主机上以root用户身份运行ifconfig命令


别名(组)设置：
        1、User_Alias        （用户别名）
        2、Host_Alias        （主机别名）
        3、Cmnd_Alias        （命令别名）


用户别名可以包含：
        1、用户的用户名
        2、组名，以%作为引导
        3、其他已经定义的用户别名


主机别名可以包含：
        1、主机名
        2、IP地址
        3、其他已经定义的主机别名


命令别名可以包含：
        1、命令的绝对路径
        2、其他已经定义的命令别名


注意：别名的名字，必须是全部大写的英文字母


特殊的格设置：
COM = /usr/bin/passwd [a-zA-Z]*                //在使用passwd命令时用户名中必须有一个字母
ELSE = ! /usr/bin/passwd root                //不能使用执行passwd  root这条命令

一般一起来使用：       
NAME = /usr/bin/passwd [a-zA-Z]* , ! /usr/bin/passwd root          //不允许对root进行密码设置,!取反

这种格式一般用在某条命令可以对root用户本身的安全造成威胁时使用


别名例子：
       
User_Alias   USER = user1,user2,user3,user4,user5  ...                //设置用户别名
Host_Alias   HOST = host1,host2,host3,host4,host5  ...                //设置主机别名
Cmnd_Alias   COMD = comd1,comd2,comd3,comd4,comd5  ...                //设置命令别名



禁用ctrl+alt+del重启：
/etc/init/control-alt-delete.conf                //注释掉配置文件里的所有内容


设置grub密码
/boot/grub/grub.conf                                 //修改grub配置文件
grub-md5-crypt                                        //生成加密字符串
password --md5  加密的字符串                     //grub编辑密码
title                                                //title之前和之后的差别
password --md5        加密的字符串                     //内核加载密码


tty终端个数控制：
/etc/init/start-ttys.conf                        //tty终端配置文件
        env ACTIVE_CONSOLES=/dev/tty[1-6]        //配置文件内容，终端的开启数量
        env X_TTY=/dev/tty1                        //配置文件内容，默认登录终端

/etc/sysconfig/init                                //tty终端配置文件
        ACTIVE_CONSOLES=/dev/tty[1-6]                //配置文件内容，终端的开启数量，如果要更改需要同时更改两个文件               


控制root用户登录终端
/etc/securetty                                        //允许root用户从哪些终端登录，配置文件


禁止所有普通用户登录系统
touch /etc/nologin                                //只需要创建文件