linux安全基础

顺德公农庄

　　对于我这个刚入行没多久的it宅来说，只是在做做自己喜欢的事情罢了，最近在阿里云购买了一个云主机服务器，针对自己不太熟悉的知识进行巩固和学习，阿里
云可以说是最接近服务生产环境的了，我还是新手，请各位长辈多多包涵！
自己总结linux安全防范的知识与配置方法：
用户的管理，系统中有很多用户，有的是用来登录系统shell的，有的则是为运行某一服务而建立的；运行服务的用户通常不需要登录系统，我们可以cat
/etc/passwd来判断哪些用户是系统用户，哪些是服务进程的用户。
系统用户（root）拥有最高权限，那些不用来登录系统的用户passwd内后面都会指定/sbin/nologin/禁止登录系统的shell；如果系统内用户都已经固定，不需要修改了，可以锁定配置文件来进行禁止创建新的用户，使用chattr +i /etc/passed
/etc/shadow锁定文件，-i则表示解锁文件，解锁后仍可以创建新的用户
   
用户账号强制密码最长使用期限：
      vi
/etc/login.defa中添加修改（只对后来创建用户有效，对已存在用户使用chage -M
天数  用户  来修改）
      PASS_MAX_DAYS      
30
输入检查完毕后wq保存即可
linux执行命令都会保存一定条数的命令历史，这对于安全性要求很高的服务器来说而言是不能允许的，因为命令历史全部以明文方式记录在主（root）或
其他用户家目录.bash_history里，一旦有人获取命令历史文件，那么用户操作的过程将一览无余，如果输入历史中存在明文密码，那将又是多了一个
安全隐患
      那么我们可以修改vim
/etc/profile文件，找到HISTSIZE项设置历史记录命令条数
     
HISTSIZE=200                           
//表示最多记录两百条历史命令
此外修改用户家目录下的vim
./bash_logout可以实现用户退出shell环境终端清空输入的历史命令
     
history
-c                             
//清空命令历史
      clear
修改vim
/etc/profile来对用户进行空闲超时时间的操作退出，防止管理员不在时其他人员对服务器进行操作，在文件中找到export
TMOUT项
      
export
TMOUT=600               
//表示用户六百秒未进行任何操作将自动退出shell
普通用户su命令提权，普通用户有时需要使用root权限的shell命令，但又不登录root账号，这时就需要对普通用户开放某些特殊权限命令
如普通用户shell下：su - root  
输入密码来进入root账号进行命令行操作，如果限定只有某些用户来su登录root管理员账号，那就需要设置添加授权用户了
，启用pam_wheel认证后，未加入wheel组的用户将无法使用su命令来切换到root账号，其操作如下（仅供参考）
    gpasswd -a
lisi wheel
vim /etc/pam.d/su
   
#%PAM-1.0
auth    aufficient           pam_rootok.so
auth    required            pam_wheel.so use_uid　　               
//找到此行去掉#号注释
   
GRUB引导菜单设置密码，GRUB菜单我们可以用来进行系统修复，这种方式可以不用通过系统验证获得root权限，这无疑是一个极大的安全威胁，对此我们可以设置一个GRUB密码，只有输入正确才能对GRUB底层shell进行修改，方式如下：
   
grub-md5-crypt                          //输入两次安全密码进行md5加密
vim  /boot/grub/grub.con

## grub.conf generated by anaconda
#
# Note that you do not have to rerun grub after making changes to
this file
# NOTICE:  You do not have a /boot
partition.  This means that
#         
all kernel and initrd paths are relative to /, eg.
#         
root (hd0,0)
#         
kernel /boot/vmlinuz-version ro root=/dev/xvda1
#         
initrd /boot/initrd-[generic-]version.img
#boot=/dev/xvda
default=0
timeout=5
splashimage=(hd0,0)/boot/grub/splash.xpm.gz
hiddenmenu
password --md5  $1$DpQOE$2cO7.Sfc1EsgcQBUC7hRP.   
title CentOS (2.6.32-431.23.3.el6.i686)
root (hd0,0)
kernel /boot/vmlinuz-2.6.32-431.23.3.el6.i686 ro
root=UUID=e76a7b8d-20c2-4f94-bdd1-f4054a34c206 rd_NO_LUKS rd_NO_LVM
LANG=en_US.UTF-8 rd_NO_MD SYSFONT=latarcyrheb-sun16
crashkernel=auto  KEYBOARDTYPE=pc KEYTABLE=us
rd_NO_DM rhgb quiet
initrd /boot/initramfs-2.6.32-431.23.3.el6.i686.img　　
   vim
/etc/security 可以修改系统启动时加载的配置文件  init q 重新读取系统配置文件

　　禁止root用户ssh远程登录系统

　　修改/etc/ssh/sshd_conf文件，找到PermitRootLogin yes
　　将其修改为PermitRootLogin no（注意是sshd_conf文件）wq保存

　　修改ssh远程端口：vim /etc/ssh/sshd_conf （注意是sshd_conf文件，不是ssh_conf,切记！！）

　　默认端口修改：找到Prot 22把Prot后修改为想要的端口，然后重启服务就好了/etc/init.d/sshd restart
　　
至此我总结记录的简单就这些，希望多少有点帮助