Linux安全应用1

蒦嗳伱

　　阻止普通用户关机
　　控制台助手机制
　　/usr/bin/consolehelper
　　配置目录
　　/etc/security/console.apps/
　　cd /etc/security/console.apps
　　mkdir -m 700 locked
　　mv poweroff locked
　　

　　清理非登陆账号
　　/sbin/nologin  禁止登陆Shell
　　bin daemon shutdown ……
　　删除冗余账号
　　news games gopher
　　

　　使用chage工具
　　-d 0 , 强制修改密码
　　-E yyyy-mm-dd , 指定失效日期 （-l 取消）
　　chage -E 2014-10-31 zengve
　　chage -l zergye  //查看zerye用户密码的详细信息
　　chage -d 0 tom  //强制tom用户修改密码
　　chage -m 0 tom  //随时可以更改密码
　　chage -m 1 -M 90 -W 5 -E 2014-10-01  -I 14 tom
　　m 密码最短使用时间
　　M 密码最长使用时间
　　-W 警告时间
　　-E 密码到期时间
　　-I 不活跃时间
　　

　　账号的锁定/解锁
　　使用passwd命令
　　-l锁定 -u解锁 -S查看状态
　　使用usermod命令
　　-L锁定 -U解锁
　　passwd -l tom  //锁定用户tom的密码
　　passwd -S tom //查看用户的状态
　　grep tom /etc/shadow  //查看状态
　　

　　强制定期修改密码
　　配置文件/etc/login.defs
　　- 对新建的用户有效
　　主要控制属性
　　- PASS_MAX_DAYS  最大天数
　　- PASS_MIN_DAYS  最小天数
　　- PASS_WARN_AGE  警告天数
　　- PASS_MIN_LEN   最短长度
　　

　　减小历史命令的条数
　　环境变量 history
　　- 默认记录1000条
　　密码等敏感信息应避免在命令行输入
　　- 比如 NFS挂载、加域等操作
　　在用户的家目录 下，历
　　vim .bash_history //历史记录保存在此文件
　　vim /etc/profile  //修改历史条数
　　

　　安全使用程序和服务
　　禁用非必要的系统服务
　　- 使用ntsysv、 chkconfig工具
　　禁止普通用户执行init.d目录下的脚本
　　- 限制 "other" 的权限
　　

　　who -r //查看当前运行级别
　　run-level //查看当前运行级别
　　init 3 //切换到运行级别3
　　start x //进入图形界面
　　ntsysv --level 35 //选中要开机运行的35运行级别
　　

　　文件系统规划及挂载
　　合理规划系统分区
　　- /boot /home /var 等采用独立的卷
　　mount挂载选项
　　-o nosuid -o noexec选项
　　SUID：如果一个可执行文件对其他人具有x权限，同时他也设置SUID，那么，
　　其他人在执行该文件的时候，文件执行期间就具备属主权限
　　# ll /bin/ls
　　# chmod 4755 /bin/ls
　　# su - tom
　　$ ls
　　# exit
　　# chmod u-s /bin/ls
　　mount -o noexec /dev/sda1 /boot  //不允许执行该分驱的文件
　　

　　文件锁定和解锁
　　EXT3/EXT4的文件属性控制
　　- chattr lsattr
　　+ - =控制方式
　　- 属性i： 不可变（immutable）
　　- 属性a： 仅可追加（append only）
　　chmod  a= hosts   //设置权限等于空
　　chattr +i /etc/passwd  //加了i权限文件不可修改
　　chattr -i /etc/passwd  //撤消i权限
　　lsattr /etc/passwd //查看文件权限
　　

　　tty终端控制
　　允许启用哪些tty终端
　　配置文件 /etc/sysconfig/init
　　- ACTIVE_CONSOLLES=/dev/tty[1-6]
　　立即禁止普通用户登陆
　　- /etc/nologin
　　touch /etc/nologin  //创建nologin文件禁止所有普通用户登陆
　　只允许root从指定的几个终端登陆
　　- 配置文件 /etc/securetty
　　

　　伪装终端登陆提示
　　配置文件/etc/issue      //本地打开登陆终端出现的标题
　　配置文件/etc/issue.net  //telnet远程连接打开终端出现的标题，ssh不出现
　　

　　vim /etc/httpd/conf
　　vim /etc/httpd/conf/httpd.conf
　　/ServerSignature On    //查找ServerSignature On
　　ServerSignature Off   //将on改为off关掉事务签名
　　:wq
　　

　　禁止Ctrl+Alt+Del重启
　　停用Ctrl+Alt+Del执键配置
　　- /etc/init/control-alt-delete.conf
　　vim /etc/init/control-alt-delete.conf
　　#start on control-alt-delete
　　#exec /sbin/shutdown -r now "Control-Alt-Delete pressed"
　　:wq
　　6,$s/^/#/ //或这样加#号修改
　　

　　GRUB引导控制
　　引导设密的作用
　　- 限制修改启动参数
　　- 限制进入系统
　　密码设置方法
　　- password --md5  加密的密码串
　　- 或者 ， password 明文密码串
　　获得MD5加密的密码串
　　grub-md5-crypt
　　

　　vim /etc/grub.conf
　　default=0
　　timeout=5
　　splashimage=(hd0,0)/grub/splash.xpm.gz
　　hiddenmenu
　　password --md5 $1$kWaqv1$tJxpfKknIY7is51qrvWFD1
　　title Red Hat Enterprise Linux (2.6.32-358.el6.x86_64)
　　password abc
　　root (hd0,0)
　　kernel /vmlinuz-2.6.32-358.el6.x86_64 ro root=UUID=27e5d4b2-0432-4ce1-831d-10044d691e31 rd_NO_LUKS  KEYBOARDTYPE=pc KEYTABLE=us rd_NO_MD crashkernel=auto LANG=zh_CN.UTF-8 rd_NO_LVM rd_NO_DM rhgb quiet
　　initrd /initramfs-2.6.32-358.el6.x86_64.img
　　vim /etc/grub.conf
　　title windwos 7//添加多一个系统引导
　　rootnoverify(hd0,0)
　　makective
　　chainloader +1    //设置为活动的
　　

　　boot/grub/splash.xpm.gz  //开机启动图片存放位置
　　开机按"p"输入第一个密码
　　回车 再输入密码
　　

　　用户切换与提权
　　切换用户身份，When
　　- SSH远程管理
　　- 运维测试
　　提升执行权限，When
　　- 管理权限细分
　　su tom //不加减号表示不登陆shell
　　su - tom //加减号表示登陆shell
　　

　　提升执行权限（sudo）
　　用途：超级执行
　　验证凭据
　　- 当前用户的口令，需提前配置授权
　　命令格式
　　- sudo 特权命令
　　- sudo [-u 目标用户] 特权命令
　　# visudo
　　# visudo -c   #检查语法正不正确
　　/ALL
　　Cmnd_Alias USEROP = /usr/bin/passwd, /usr/sbin/useradd, /usr/sbin/userdel, /usr/sbin/usermod  //把命令加入USEROP组
　　User_Alias USER_ADMINS = tom, jack   //把tom加,jack加入USER_ADMINS组
　　tom     ALL=(ALL)       ALL     //加上这一行，可以执行任意管理员命令    sudo su -  #然后输入用户自己的密码，就可以切换成root用户了
　　USER_ADMINSALL=(ALL)USEROP   //USER_ADMINS组的这些人，可以执行USEROP组的这些命令
　　:wq
　　# su - tom
　　$ sudo -l  // 查看用户tom可以执行的命令
　　$ sudo useradd jack   //要加sudo可才可执行此命令
　　

　　vim var/log/secure    //查看安全相关的日志
　　

　　yum install -y finger
　　finger tom //查看tom的用户信息
　　chfn tom   //设置tom的用户信息
　　name: tommy
　　office: bejing
　　office: phone 010-0000
　　home phpone: 101-11111
　　验证查看tom的用户信息
　　grep tom /etc/passwd