一、基本安全措施

1、系统账号清理

(1)、将非登陆用户的shell设为/sbin/nologin

方法一、usermod -s

方法二、chsh命令,交互式修改

方法三、chsh -s

usermod(修改用户) userdel(删除用户) useradd(创建用户)

可用命令 tail -10 /etc/passwd

2、锁定长期不使用的账号

方法一;passwd -l (将在密文前增加2个“!”) 解锁 passwd -u 查看passwd -s

方法二、usermod -L{将在密文前增加一个“!")解锁usermod -U

若用passwd -l +用户 锁定用usermod -u  解锁必须输入2次命令usermod -U

3、删除无用的账号  userdel{r}

4、锁定账号文件

/etc/passwd     /etc/shadow

1>锁定;chattr +/etc/passwd  +/etc/shadow

2>解锁;chattr -i /etc/passwd -i /etc/shadow

3>查看;lsattr /etc/passwd   /etc/shadow

例;

2、密码安全控制

(1)设置密码有效期

1>修改某个已存在用户的密码有效期

chage -M 天数 用户名

passwd -x 天数 用户名

2>设置今后添加用户时的默认密码有效期

方法一;VI编辑/etc/login.defs文件,修改“pass_MAX_DAN"后面的数值

咧;

vi /etc/login.defs

将99999天改为60天 然后用 useradd wang(创建一个用户) grep wang /etc/shadow (过滤查看)

(2)要求用户下次登陆时修改密码

1>方法:chage -d o 用户名

3、命令历史限制

(1)减少历史的命令条数

1>方法一;vi编辑/ect/profile文件,修改”HISTSIZE="后面的数值

2>方法二;export HISTSIZE=数值

如;方法一;vi 编辑/etc/profile文件,修改“HISTSIZE=100"

把1000改为100

source /etc/profile  使/etc/profile配置文件生效,此时全局生效

方法二;export HISTSIZE=100 仅当前用户环境生效

export 全局生效 /etc/profile 全局变量

export HISTSIZE=100

(2)注销时自动清空历史命令

1>方法;vi编辑宿主目录下的”.bash_logout"文件,添加“history-c"

2>示例;设置amber用户注销时自动清空历史命令

vi ~amber/.bash_logout

4、终端自动注销

(1)方法一;VI编辑/etc/profile 文件,添加”TMOUT=数值“

(2)方法二;export TMOUT=数值

(3)示列;闲置600秒后自动注销

方法一;VI编辑/etc/profile文件,添加”TMOUT=600"

vi /etc/profile

方法二;export TMOUT=600

export TMOUT=600 仅当前用户环境生效

二、切换用户

1、作用;切换用户(Substitute User)

2、su[-]目标用户 (有“-”初始化环境变量,无“-”环境变量不改变)

3、查看SU操作记录

安全日志文件;/var/log/secure

tac /var/log/secure|less

三、提升权限 Sudo 命令

1、SU命令的缺点;

在使用SU命令时,不指定用户名以默认切换至root用户,需要输入root密码,但实际生产中root密码是不可以被广泛告知的。如果需要执行root用户才有权限的命令,需要通过sudo命令或wheel组的设置来实现。

2、sudo命令

(1)作用;以其他用户身份(默认root身份)执行授权的命令

(2)用法;

sudo授权命令

默认设置为首次执行时,需输入当前用户的登陆密码,5分钟内再次执行sudo命令时则无需再次输入密码

(3)配置sudo授权

1>方法一;添加单个用户的sudo授权

visudo或者vi /etc/sudoers(效果相同),添加配置内容

格式;用户     主机名列表=命令出现列表,命令前加“!”表示“除了”此命令

2>方法二;批量授权   wheel组

HOST Aliase主机名(下图)

User Aliases用户名

Command Aliases命令别名

根据示列以及实际需求,设置别名。(建议先复制,再粘贴修改)

设置别名后,添加格式;

用户别名    主机别名=命令别名(所有别名均大写)

(4)查看sudo操作记录

第一步;visudo或者vi /etc/sudoers添加“Defaults logfile=/var/log/sudo"

第二步;cat/var/log/sudo

示列;启用Defaults logfile 配置,给xiao用户所有/sbin/以及/usr/sbin/下的命令执行权限,除了关机以及重启。

visudo

sudo userdel -r xiao5        grep xiao5 /etc/passwd              sudo init 0

对不起,用户 xiao 无权以 root的身份在www.xiao.com上执行/sbin/init 0.

tac /var/log/sudo

5、查询授权操作 sudo -l   用户xiao  可以在该主机上运行以下命令

(root)/sbin/*,(root)     /usr/sbin/*,(root)  ! /sbin/reboot,  (root)   !/sbin/init,(root),  (root) !/sbin/poweroff,   (root) !/sbin/shutdown

 

linux 系统管理11 ——系统安全及应用的更多相关文章

  1. 虚拟机vmware10.0.0里设置Suse Linux Enterprise 11系统静态IP上网

    http://blog.csdn.net/usbdrivers/article/details/50035615 首次在虚拟机里安装Suse Linux Enterprise 11,采用NET方式能够 ...

  2. Linux小白最佳实践:《超容易的Linux系统管理入门书》(连载五)Linux系统的对话方式

    本篇是Linux小白最佳实践第5篇,目的就是让白菜们了解Linux进程之间是如何对话的.之前连载的几篇,在微信上引起了很多的反响,有人也反映图多文字少,感觉没有干货.本篇选了大部分是实战讲解的&quo ...

  3. 浅析 Linux 初始化 init 系统,第 1 部分: sysvinit 第 2 部分: UpStart 第 3 部分: Systemd

    浅析 Linux 初始化 init 系统,第 1 部分: sysvinit  第 2 部分: UpStart 第 3 部分: Systemd http://www.ibm.com/developerw ...

  4. 【转载】茶叶蛋干货!《超容易的Linux系统管理入门书》(连载十)进行动态主机配置DHCP

    使用动态主机配置协议DHCP(Dynamic Host Configuration Protocol)则可以避免网络参数变化后一些繁琐的配置,客户端可以从DHCP服务端检索相关信息并完成相关网络配置, ...

  5. 【转载】Linux小白最佳实践:《超容易的Linux系统管理入门书》(连载六)Linux的网络配置

    本篇是Linux小白最佳实践第6篇,目的就是让白菜们了解Linux网络是如何配置的.Linux系统在服务器市场占有很大的份额,尤其在互连网时代,要使用计算机就离不开网络. 想每天能听到小妞的语音播报, ...

  6. 【转载】Linux小白福利:《超容易的Linux系统管理入门书》(三)在虚拟机上安装Linux

    本篇是Linux小白最佳实践第3篇,目的就是让白菜们自己动手安装个Linux玩玩.如果你是Linux小白,请务必亲自动手来安装.不想安装多个操作系统的,虚拟机是最佳选择,一台电脑上可以用虚拟机安装7. ...

  7. Linux系统管理和维护常用命令

    Linux系统管理和维护常用命令 ls 命令 功能说明 ls 命令显示指定工作目录下的内容,列出工作目录所包含的文件及子目录. 语法结构: ls [选项] [路径或文件] ls 选项及说明 -a 显示 ...

  8. Linux系统管理常用命令

    Linux系统管理常用命令 分类: Linux2011-01-10 18:26 1538人阅读 评论(0) 收藏 举报 linuxcommandservicenginxuserunix 目录(?)[+ ...

  9. linux 系统管理--进程管理

    目录 linux 系统管理--进程管理 一.进程基本概述 二.监控进程状态 三.进程的优先级[进阶] 四.企业案例,Linux假死是怎么回事 五.后台进程管理 六.系统平均负载[进阶] linux 系 ...

随机推荐

  1. python基础篇_003_函数

    python中的函数 1.函数的目的 .避免代码冗余 .增强可读性 2.函数的定义与调用 # 定义函数 使用关键字def """ 1.定义函数: def 函数名(): 函 ...

  2. React十进制和二进制转换的实现和分析

    [描述] 模仿官方文档的摄氏度和华氏度的转换,实现十进制和二进制的互换. [实现] import React from 'react'; import ReactDOM from 'react-dom ...

  3. 提升webpack打包速度

    webpack打包文件体积过大,怎么提升速度? 借助webpack visualizer可视化插件,来看构建的情况.这个问题要具体情况具体分析,看看打包文件有哪些块头比较大,哪些不常改变,最好列一个l ...

  4. 重新学习Java的开始~

    安装jdk的步骤及解释已经在这篇文章中详细阐述了,如下: http://www.cnblogs.com/godtrue/p/4338323.html 1.如何安装库源文件--摘自coreJava 库源 ...

  5. port bridge enable命令导致的环路

    1.故障描述 前几天机房一台连接数据中心与核心交换的交换机宕机(硬件故障),机房有备用的设备,随即更换(配置也是早就配置好了的),但是下午就出现数据中心网络丢包问题,表现为存在mac漂移 2.拓扑 核 ...

  6. configure: error: Cannot find php-config. Please use --with-php-config=PATH

    本文章给大家介绍configure: error: Cannot find php-config. Please use --with-php-config=PATH错误解决办法. configure ...

  7. Oracle命令行中显示:ORA-04076: 无效的 NEW 或 OLD 说明

    Oracle命令行进行操作时可能出现"ORA-04076: 无效的 NEW 或 OLD 说明" 需要在条件语句中JOB前面添加“old.”即可(因为是在when条件里面,所以不用“ ...

  8. react-native run-android时 SDK location not found.报错

    报错 原因 缺少local.properties文件(SDK location) 解决 方法一:在android Studio中打开项目android目录,会自动创建local.properties文 ...

  9. 2018-2019-1 20189210 《LInux内核原理与分析》第九周作业

    进程的切换和系统的一般执行过程 (1)进程调度的时机 1.schedule是一个内核函数,不是一个系统调用,进程的调度只发生在内核中,进程调度函数schedule()只能在内核中被调用,用户进程无法调 ...

  10. 24 GISer必备知识(一) 坐标系

    对于经常使用ArcMap的童鞋,肯定用过属性表中的计算几何的功能,但是有时候会提示面积计算与长度计算禁用 但是选择的明明是 Xian 1980坐标系,这是为什么呢?下面就来讲一讲这些个经常让人“头大” ...