zoukankan      html  css  js  c++  java
  • Linux安全加固(二)禁止普通用户su到root/设置SSH终端接入白名单/修改history条数

    一、禁止普通用户su到root管理员、设置可以su到root的白名单

    1、首先看一下正常情况

     2、可以看到普通用户使用su root命令,输入密码即可登录到root用户

     3、下面开始配置禁止所有普通用户su到root,打开配置文件,使用命令vim /etc/pam.d/su

     

     4、取消配置文件这一行的注释,保存退出。

     5、返回普通用户lu,再次使用su命令尝试切换至root

     6、此时发现配置已经生效,su命令被拒绝,无法切换了。

     7、接下来设置允许某些用户可以su到root

     8、使用root用户。打开/etc/login.defs文件,在文件结尾添加SU_WHEEL_ONLY yes ,保存退出

     8、接下来就将可以将用户添加到wheel组,就可以让他拥有su命令的权限。usermod -G wheel lu

     9、发现已经可以成功su到root了

     10、此时只有普通用户lu可以使用su到root,其他普通用户依然无法su,使用hl验证一下

     

    二、通过配置hosts.allow和hosts.deny限制SSH/TELNET终端接入,设置白名单

     首先查看Redhat6虚拟机的IP地址

      打开putty输入IP,登录

     此时可以成功登录

     

    1、首先配置拒绝接入的IP地址。以root用户登录Redhat,打开/erc/hosts.deny文件

      

     在配置文件结尾添加拒绝规则,保存退出

     使用putty再次登录试验一下,被拒绝了

     

     2、配置允许接入的IP地址。使用root用户打开/erc/hosts.文件

     可以添加允许的单个IP或是允许的网段,添加规则是这样的

    允许内容

    书写格式(改成自自需要的IP或IP段)

    ssh允许单个ip

    sshd:192.168.233.1

    ssh允许ip段

    sshd:192.168.233.

    telnet允许单个ip

    in.telnetd:192.168.233.1

    telnet允许ip段

    in.telnetd:192.168.233.

    添加自己本机地址保存(注意:此时添加的是本地VMnet8的地址,而不是无限局域网的VLAN地址),试一下

     使用putty连接

     发现此时可以连通

     那么设置本机所在网段试一下

     

     网段方式也可以通。

    备注:

    1、配置配置hosts.allow和hosts.deny文件后不用重启服务也能生效

    2、hosts.allow的优先级要大于hosts.deny

    三、修改history条数

    首先使用history查看一下

     虽然现在记录的命令不多,但其中不乏一些非常敏感的信息,比如管理员密码,细思极恐

     想要查看当前history条数可以使用echo $HISTSIZE 命令 

     

     现在我们对他进行修改。使用管理员账户,打开/etc/profile配置文件,找到图片中所示的字段        HISTSIZE=1000

     将条数修改为10保存退出。

     使用命令source /etc/profile,使他现在生效,现在查看history条数

     使用history看看什么效果

     现在可以看到,history只记录了最后10条命令

  • 相关阅读:
    Java之正則表達式【使用语法】
    2015年创业中遇到的技术问题:71-80
    2015年创业中遇到的技术问题:71-80
    Kinect小小玩偶游戏----小小潜水员
    微信开发学习日记(三):6点经验
    微信开发学习日记(二):3个案例
    2015年创业中遇到的技术问题:61-70
    2015年创业中遇到的技术问题:61-70
    2次创业经验谈(想创业想做事的人不要错过)
    Kinect舒适区范围--UE4 的Blueprint测试范例
  • 原文地址:https://www.cnblogs.com/hai-long/p/11678919.html
Copyright © 2011-2022 走看看