本文共 2260 字，大约阅读时间需要 7 分钟。

系统安全

一、文件权限

chattr +i /etc/shadow 锁住文件lsattr /etc/shadow 查看，看到底层有没有被锁chattr -i /etc/shadow 解锁chattr +a 文件名 加上可追加内容的权限

能 echo

注：对重要文件进行锁定，加强安全性，让一次文件不能随意更改，从而导致系统的崩溃。

二、密码安全控制

/etc/login.defs 决定shadow默认信息

chage -l 用户名 查看用户名的信息chage -h 查看用法chage -d 0 用户名 指定这个用户下次登录改密码chage -E 时间 用户名 指定用户账号过期时间chage -M 2 用户名 2天之后必须改密码

三、history

history 查看使用过的命令

history -c 清空历史命令 ! 3 执行3那个命令 在.bush.logout 在登出的时候执行在这个文件 root登录------把命令记录在缓存中-------登录系统---------记录到.bash_history文件中-------登录系统-----把.bash.history文件命令读进缓存---------再次history又能看见上次登录的命令 当执行history -c 清楚时，要删除.bash_history文件 在/etc/profile文件中管理，默认是1000条，可以修改 注：当退出登录时，需要清除history记录，保证用户记录的安全性

四、系统引导和登陆控制

1、su命令切换用户

直接在root用户下切换，不需要密码。

注：su - lrz和su lrz虽然都可以切换到lrz用户，但是不加 - 的表面是切换用户，但是调用系统变量还是调用的root用户下面的文件。 因此，一般都使用 su - lrz 切换用户。

2、su命令限制用户

将允许使用su命令的用户加入wheel组，启用pam_wheel认证模块

这里我们会接触到用sudo命令创建用户 进入编辑 /etc/sudoers 文件 也可以将命令写成 visudo 注意的是如果出现语法错误时 /etc/sudoers 不会提示，但是visudo会提示 进入配置文件，查看属性，并编辑使得用户zhangsan 不允许查看网卡信息，其他权限的都允许,后面必须+绝对路径 !+命令的绝对地址 ！表示不允许进行什么操作，如果想执行多条命令，进入配置文件，多个命令之间用，分隔。 允许root用户在任何地方执行任何操作 all 任何地方 all 权限（一般不用写） all 任何操作 % 代表后面是一个组

3、启动pan——wheel认证模块

使用su命令的安全隐患，可借住PAM认证，只允许个别用户使用su 命令进行切换

PAM(Pluggable Authentication Modules)可插拔式认证模块，是一种高效而且灵活便利的用户级别的认证方式，也是当前L inux服务器普遍使用的认证方式 PAM认证原理：一般遵循的顺序 Service (服务) - →PAM (配置文件) -→pam_ *.so PAM认证的构成： 查看某个程序是否支持PAM认证，可以用Is命令 示例:查看su是否支持PAM模块认证 Is /etc/pam.d | grep su 查看su的PAM配置文件: cat /etc/pam.d/su PAM安全认证流程： 控制类型也称做Control Flags,用于PAM验证类型的返回结果 1.required验证失败时仍然继续，但返回Fail 2. requisite验证失败则立即结束整个验证过程，返回Fail 3. sufficient验证成功则立即返回，不再继续，否则忽略结果并继续 4. optional不用于验证，只显示信息(通常用于session类型)

五、开关机安全控制

1、调整BIOS引导设置

将第一引导设备设为当前系统所在硬盘

禁止从其他设备(光盘、U盘、网络)引导系统 将安全级别设为setup,并设置管理员密码 禁止ctrl+alt+del快捷键重启

2、GRUB限制

使用grub2-mkpasswd-pbkdf2生成密钥

修改/etc/grub.d/0O_ header文件中，添加密码记录 生成新的grub.cfg配置文件 设置密码 虚拟机重启，进入系统 ctrl +x 退出界面进入系统 进入这个配置文件vim /boot/grub2/grub.cfg，更改root的名字，加强安全性

六、终端登录安全控制

安全配置文件在/etc/securetty

限制root只在安全终端登录 如果想限制root在哪个终端登录，就把哪一个终端删除或者注释掉 安利一个小tips：创建一个文件 /etc/nologin 这个文件默认不存在，默认是所有人都可以登录 可以往里面写入提示性的消息，不需要的话可以删除

七、系统弱口令检测

Joth the Ripper, 简称为JR ，一款密码分析工具， 支持字典式的暴力破解，支持DES、MD5等多种加密算法

通过对shadow文件的口令分析，可以检测密码强度。 1.安装JR工具 2.检测弱口令账号 3.密码文件的暴力破解

八、网络扫描

NMAP是一个强大的端口扫描类安全评测工具，支持ping扫描，多端口扫描，OS识别等多种技术，使用NMAP定期扫描内部网络，可以找出网络中的不可控的应用服务，及时关闭不安全的服务，减小安全风险

转载地址：http://mdpqz.baihongyu.com/