linux安全控制

一、帐号安全(将不要帐号删除、锁定)

1.删除不使用用户

userdel -r 用户名         

详解

-r：删除用户的家目录

2.用不常使用用户指定登录Shell

usermod -s /sbin/nologin 用户名

详解

-s：指定登录Shell，如果/bin/bash代表可登录系统

3.锁定不使用用户

passwd -l 用户名 | usermod -L 用户名             //锁定指定用户

passwd -u 用户名 | usermod -U 用户名           //解锁指定用户

注：如指定用户锁定前为空密码时，解锁时必须先设置密码才可解锁

详解：

-l | -L：锁定指定用户

-u | -U：解锁指定用户

二、基本安全

1.注销时自动清空历史命令

vim ~/.bash_logout            //用户退出登陆时执行

history -c                 //清空历史命令

clear                          //清屏

2.终端超过闲置时间后自动注销

vim /etc/profile            //全局变量定义文件

TMOUT=秒数               //指定闲置时间

source /etc/profile              //立即执行文件内容，也可退出登录

三、su命令切换用户

su [ - ] 用户

详解：

-：加载切换用户的环境变量

注：root用户切换所有用户都不需要密码

四、sudo临时提权

1)/etc/sudoers                     //定义可使用用户、命令等

用户名       主机=命令

Cmnd_Alias 别名(大写)=命令    //定义命令别名

User_Alias 别名(大写)=用户名  //定义用户别名

Host_Alias 别名(大写)=网段，IP地址  //定义主机别名

注：命令可取反，如!/bin/(除/bin/目录外)

sudo -l                      //查看当前用户所有可使用sudo提权的命令

2)日志记录

1.vim /etc/sudoers

Defaults logfile=/var/log/sudo      //定义日志记录并指定存储位置

2.tail -f /var/log/sudo

五、PAM认证

1)支持login、远程、su等

2)/etc/pam.d/               //pam认证模块存放位置

vim /etc/pam.d/su

认证类型  控制类型  PAM模块及其参数

详解：

认证类型：

auth(authentication managenment，认证管理)：接受用户名和密码，并对其认证操作

account(account managenment，账户管理)：帐号是否过期、是否允许登录，账户相关认证操作

password(password managenment，密码管理)：修改用户密码

session(session managenment，会话管理)，提供会话和记账管理

控制类型：

required：验证失败后返回Fail并继续验证

requisite：验证失败后立即结束并返回Fail

sufficient：验证成功后立即结束并不再继续，如果无则继续验证

optinonal：不验证，只显示信息(session)

hehe haha huohuo

成功 成功 失败

auth  required  pam.so  fail

auth  requisite pan.so  fail

auth  sufficient pan.so

案例：

  控制只有属于wheel组用户方可切换到root用户

1)    vim /etc/pam.d/su

 auth  required  pam_wheel.so use_uid

2)新建两个用户

useradd hehe && useradd haha

echo "123" | passwd --stdin hehe

echo "123" | passwd --stdin haha

3)gpasswd -a hehe wheel        //将hehe用户加入wheel组

4)验证hehe用户

su - hehe

su - root                   //由于hehe属于wheel，因此可切换至root

5)验证haha用户

su - haha

su - root                   //不能切换

六、开关机安全控制

1)禁用热键

vim /etc/init/control-alt-delete.conf

注释掉最后一行(加#)

2)GRUB菜单限制

1>明文

vim /boot/grub/grub.conf

password 密码

title之前

2>密文

grub-md5-crypt                  //将输入的字符串使用md5方式转换

vim /boot/grub/grub.conf

password --md5 加密字符串

title之前

3)减少tty终端数量

vim /etc/sysconfig/init

  ACTION_CONSOLES=/dev/tty[1-6]              //改动tty[1-6]数值可实现控制

4)禁止普通用户登录

touch /etc/nologin

rm -rf /etc/nologin                    //解锁，普通可登录

5)扫描

nmap -A -O -PO -vv 网段/IP/域名            //扫描指定主机的OS、端口、MAC等信息

推荐扫描类型：

-PO：主机禁止ping时，可强制扫描

-sU：扫描UDP

-sT：扫描TCP

-p：扫描指定端口