本文共 1864 字,大约阅读时间需要 6 分钟。
文件权限管理是系统安全的基础。通过设置适当的权限,可以限制未经授权的人对重要文件的访问。
文件锁定
使用chattr +i /etc/shadow 锁定文件,防止随意修改。查看锁定状态时,可用 lsattr /etc/shadow。解锁文件时,可用 chattr -i /etc/shadow。 追加权限
使用chattr +a <文件名> 给文件添加可追加的权限,以控制文件增长。 密码安全是系统安全的核心。通过合理配置用户账号和密码策略,可以有效防止未经授权的访问。
默认配置文件
/etc/login.defs 决定了系统对用户 default password 和其他设置的默认值。 用户管理命令
chage -l <用户名>chage -hchage -d 0 <用户名>chage -E <时间> <用户名>chage -M 2 <用户名>(2天后强制更换密码)history命令记录用户在 shell 中执行的命令。默认记录1000条,可以根据需求调整。
清空命令历史
使用history -c 可以清除当前 shell 会话中的命令历史。注意:清空后,用户需要重新登录才能看到之前登录的命令历史。 命令执行缓存
.bash_history 文件中,默认存储在用户的家目录下。.bush.logout 文件中。配置文件中设置
在/etc/profile 文件中,可以调整history的记录条数,修改默认值为1000条。 切换用户
使用su - lrz 切换用户,强制使用 root 用户的环境变量。 限制用户权限
将允许使用 su 命令的用户加入wheel 组,并启用 PAM_wheel 认证模块。可以通过 visudo编辑 /etc/sudoers 文件,配置具体权限。 PAM(Pluggable Authentication Modules)是现代 Linux 系统的认证方式,支持灵活的认证策略。
PAM配置文件
查看 PAM 配置文件:cat /etc/pam.d/su 查看支持的 PAM 模块:is /etc/pam.d | grep su PAM认证流程
PAM 认证的控制标志包括:引导设备设置
将第一引导设备设为当前系统所在硬盘,禁止从其他设备(如光盘、U盘、网络)引导系统。安全级别和管理员密码
将安全级别设为setup,并设置管理员密码,防止未经授权的系统启动。 防止强制重启
禁止Ctrl + Alt + Del 快捷键用于重启系统。 生成密钥
使用grub2-mkpasswd-pbkdf2 生成 GRUB 密钥,并将其添加到 /etc/grub.d/00_header 文件中。 修改密码
重新生成 GRUB 配置文件grub.cfg,并设置密码,确保系统启动时密码正确。 安全终端列表
配置/etc/securetty 文件,限制 root 只能在指定终端登录。 默认拒绝登录
创建/etc/nologin 文件,可选择在文件中添加提示信息或直接删除,限制未经授权的登录。 安装工具
安装 Joth the Ripper,用于检测系统中的弱口令账号。检测弱口令
执行密码分析,支持字典式和暴力破解,检测 DES、MD5 等加密算法。定期扫描
使用 NMAP 进行内部网络扫描,定期检查网络中的可控服务,及时关闭不安全的服务。安全评估
利用 NMAP 的多种扫描技术(如 ping扫描、OS 识别),评估网络中的安全风险,减少潜在攻击面。通过以上措施,可以有效提升系统安全性,防止未经授权的访问和潜在威胁。
转载地址:http://mdpqz.baihongyu.com/