Linux用户以及ssh安全相关设置
Linux用户相关操作
摘要
最近重保, 需要进行网络安全防护.
部分同事处理过程总是顺序有一些不太对的情况.
同时发现自对Linux用户设置也存在很多不清不楚的地方
所以趁着周末学习和总结一下.
用户操作
# 新增用户, 这里想加入root用户组. 仅是测试,可以自定义其他的用户组
useradd -d /home/zhaobsh -g root zhaobsh
# 查看用户的组信息
groups zhaobsh
# 或者是通过这种方式来处理
cat /etc/passwd |egrep 'root|zhaobsh'
# 注意第四例就是用户组信息, 0 一般指代root用户组.
# 设置密码
passwd zhaobsh
/etc/passwd的相关信息
文件权限以及其他
chmod 777 * -R
第一个 7 指代当前用户
第二个 7 指代当前用户组
第三个 7 指代其他用户
所以一般 777 的授权危险很大, 会导致低权限用户也有执行命令的权限
一般非常不建议如此设置.
用户以及组删除
# 删除用户, 但是这个命令并不会删除用户的home目录
userdel zhaobsh
# 添加组
groupadd zhaobsh
# 删除组
groupdel zhaobsh
添加sudo权限
需要注入, 如果不允许root用户访问的话, 必须使用非特权用户.
但是特权用户登录之后需要进行 特权操作时必须先进行sudo权限的设置.
主要方式有两种, 推荐第一种
第一种:
使用root用户, 或者是具有sudo权限的用户
sudo visudo
可以添加一行信息
# 需要注意, 这样设置的话 zhaobsh用户可以特权执行任何命令, 并且不需要输入密码
# 不太建议如此设置, 但是如果非核心系统,如果已经ssh登录自己的用户进来了, 输入密码一般有点多余了.
zhaobsh ALL=(ALL) NOPASSWD: ALL
第二种:
先修改 /etc/sudoers 的文件权限.
注意 这个文件的默认权限是 440 建议修改为 740, 保证root用户可以操作.
然后在最下面也一样添加哪条信息
zhaobsh ALL=(ALL) NOPASSWD: ALL
然后在修改会原来的权限
chmod 440 /etc/sudoers
# 注意一定要修改回原来的权限,不然会丢失登录权限.
注意事项
必须在禁用root用户之前设置 sudo权限, 不然你会哭.
重要事情说三遍.
注意, 一般情况下sudo 如果需要输入密码, 有效期一般为 15min
如果设置了NOPASSWD: ALL 的话 则不需要输入密码
这里需要注意的一些情况是:
第一:
su 和 su - 的区别
su 仅是切换用户, 但是不会切环境变量, 一般不推荐
su - 会切换到要切换的用户的环境变量, 更加优秀一下.
第二:
sudo -i 和 sudo su 等的区别:
sudo -i 直接运行sudo命令加-i参数 要求执行该命令的用户必须在sudoers中才可以
sudo su 运行sudo命令给su命令提权,运行su命令。 要求执行该命令的用户必须在sudoers中才可以
sudo -i 运行结果 PWD=/root
sudo su 运行结果 PWD=/home/用户名(当前用户主目录)
这一段的来源:https://blog.csdn.net/qq_43842093/article/details/124913229
需要注意这两个命令会立即切为 root用户
禁止root用户的远程访问
为了安全期间, 很多时候会禁止root用户的远程登录.
不允许root用户进行远程登录避免出现安全隐患.
方式也比较简单, 可以在 /etc/ssh/sshd_config里面进行先关设置
需要注意. /etc/ssh 下面有两个config文件
ssh_config 是ssh客户端的配置文件
sshd_config 是ssh服务端的配置文件
linux中 daemon 指代守护进程.
可以通过如下命令来禁止root用户的远程登录
sed -i 's/PermitRootLogin yes/PermitRootLogin no/g' /etc/ssh/sshd_config
注意 sed 是一个非常好的流处理工具. 在不方面操作时处理起来非常搞笑.
删除 密码登录验证的的选项, 并且修改为不允许密码登录验证
sed -i '/PasswordAuthentication/d' /etc/ssh/sshd_config
echo 'PasswordAuthentication no' >> /etc/ssh/sshd_config
关于ssh防火墙的处理
firewall 其实不是通过端口来将ssh服务进行暴露的.
还是通过服务名将ssh进行暴露,
这种方式有一个好处是, 修改了ssh服务的端口不需要重置firewalld的配置
但是缺点是容易找不对方向, 导致firewalld处理ssh服务实现.
这里简单说明一下:
firewall-cmd -h |grep list
# 可以查看firewalld-cmd的查看相关命令的帮助
# 查看firewall-cmd 例外的服务
firewall-cmd --list-services
# 将例外的服务永久移除
firewall-cmd --remove-service cockpit --permanent
# 需要注意 list 是复数形式,但是remove 是单数形式. 注意我这里是用cockpit进行测试的
# 重置firewalld的服务
firewall-cmd --reload
# 再次查看是否包含例外服务
firewall-cmd --list-services
Linux用户以及ssh安全相关设置的更多相关文章
- 生物信息Linux用户创建与配额设置
创建一个新用户,并配置使用. create_usr.sh: #/usr/bin/bash user=$1 password="123" useradd ${user} -g met ...
- 教你如何配置linux用户实现禁止ssh登陆机器但可用sftp登录!
构想和目标最近有个这样的诉求:基于对线上服务器的保密和安全,不希望开发人员直接登录线上服务器,因为登录服务器的权限太多难以管控,如直接修改代码.系统配置,并且也直接连上mysql.因此希望能限制开发人 ...
- linux下开启SSH,并且允许root用户远程登录,允许无密码登录
参考:http://blog.csdn.net/jia0511/article/details/8237698 1. 允许root用户远程登录 修改ssh服务配置文件 sudo vi /etc/ssh ...
- ssh公钥认证原理及设置root外的其他用户登录ssh
1)创建其他用户 useradd [-d 登录目录] [-G ssh][用户名] 一定要将用户添加到ssh组不然无法没有权限登录ssh 2)设置ssh不允许root登录 vi /etc/ssh/ss ...
- linux系统禁止root用户通过ssh登录及ssh的访问控制
Linux系统默认情况下,是可以通过ssh以root权限登录的.但出于安全考虑,这样的权限是不合适的,因为黑客可能通过暴力破解你的root密码,然后进入你的系统,oh,damn it..... 同样是 ...
- Linux给普通用户增加ssh权限
//1,创建用户 useradd name //2,修改密码 passwd name //3,修改ssh配置文件,在最后一行添加AllowUsers name vi /etc/ssh/sshd_con ...
- Linux—用户新建目录和文件的默认权限设置:umask详解
关注微信公众号:CodingTechWork,一起学习进步. 引言 我们有没有思考过一个问题,在登录Linux系统后,我们创建的目录或者文件的权限,为什么每次创建都是统一的?我们做以下实验:新建一 ...
- Linux ssh安全设置
本文摘要 SSH服务器配置文件是/etc/ssh/sshd_conf.在你对它进行每一次改动后都需要重新启动SSH服务,以便让改动生效. SSH服务器配置文件是/etc/ssh/sshd_ ...
- linux远程ssh一键设置服务器时间
cmd="sudo date -s \"$1\""; ssh mrdTomcat@*.*.*.* "$cmd" 是不是遇到过很多问题 ssh ...
- linux 下的ssh免密登陆设置
一,原理 说明: A为linux服务器a B为linux服务器b 每台linux都有ssh的服务端和客户端,linux下的ssh命令就是一个客户端 我们常用ssh协议来进行登陆或者是文件的拷贝,都需要 ...
随机推荐
- 第九部分_Shell脚本之case语句
case语句 关键词:确认过眼神,你是对的人 case语句为多重匹配语句 如果匹配成功,执行相匹配的命令 1. 语法结构 说明:pattern表示需要匹配的模式 case var in #定义变量;v ...
- 毕昇 JDK:为啥是ARM 上超好用的 JDK
摘要:毕昇 JDK 是华为基于 OpenJDK 定制的开源版本,是一款高性能.可用于生产环境的 OpenJDK 发行版. 本文分享自华为云社区<[云驻共创]毕昇 JDK:"传奇再现&q ...
- 性能测量工具-DevTools/PageSpeed/LightHouse
前端的性能优化有诸多有迹可循的理论和方法,比如 Yahoo!性能军规(Best Practices for Speeding Up Your Web Site).Google PageSpeed In ...
- 线下Meetup:在数智化转型背景下,火山引擎VeDI的大数据技术揭秘
更多技术交流.求职机会,欢迎关注字节跳动数据平台微信公众号,回复[1]进入官方交流群 近日,联合火山引擎开发者社区,火山引擎数智平台(VeDI)<数智化转型背景下的火山引擎大数据技术揭秘& ...
- 火山引擎 VeDI 零售行业解决方案 聚焦精准营销场景提升品牌转化
更多技术交流.求职机会,欢迎关注字节跳动数据平台微信公众号,回复[1]进入官方交流群 你知道,为了能让你买到合适的商品,品牌商们有多努力吗? 精准营销并不是一个新词,但近年来,随着营销渠道/平台的更加 ...
- Spring 学习笔记(4)依赖注入 DI
本篇文章主要对 Spring 框架中的核心功能之一依赖注入 (DI,Dependency Injection) 进行介绍,也是采用 理论+实战 的方式给大家阐述其中的原理以及明确需要注意的地方. 相关 ...
- java调用百度地图接口输入名称查经度纬度
如何注册ak号请参考https://blog.csdn.net/weixin_42512684/article/details/115843299 package manager.tool; impo ...
- Vue中生成二维码 组件库qrcode使用
qrcode网址: https://www.npmjs.com/package/qrcode 安装代码如下: npm install qrcodeqrcode文档中生成二维码有很多环境下的用法.我们这 ...
- 开发中history和location
- P3842-DP【黄】
想搜索到最后一层,就必得先完成前面层的搜索任务,这构成了对状态转移的启示,即当前层的DP值应该是此前层转移过来后得到的最佳值. 但这道题看数据范围应该不能用二维数组,抱着侥幸的心理我使用了动态二维数组 ...