linux安全控制

一、帳號安全(將不要帳號刪除、鎖定)

1.刪除不使用使用者

userdel -r 使用者名稱         

詳解-r：刪除使用者的家目錄

2.用不常使用使用者指定登入shell

usermod -s /sbin/nologin 使用者名稱

詳解-s：指定登入shell，如果/bin/bash代表可登入系統

3.鎖定不使用使用者

passwd -l 使用者名稱 | usermod -l 使用者名稱             //鎖定指定使用者

passwd -u 使用者名稱 | usermod -u 使用者名稱           //解鎖指定使用者

注：如指定使用者鎖定前為空密碼時，解鎖時必須先設定密碼才可解鎖

詳解：-l | -l：鎖定指定使用者

-u | -u：解鎖指定使用者

二、基本安全

1.登出時自動清空歷史命令

vim ~/.bash_logout            //使用者退出登陸時執行

history -c                 //清空歷史命令

clear                          //清屏

2.終端超過閒置時間後自動登出

vim /etc/profile            //全域性變數定義檔案

tmout=秒數               //指定閒置時間

source /etc/profile              //立即執行檔案內容，也可退出登入

三、su命令切換使用者

su [ - ] 使用者

詳解：-：載入切換使用者的環境變數

注：root使用者切換所有使用者都不需要密碼

四、sudo臨時提權

1)/etc/sudoers                     //定義可使用使用者、命令等

使用者名稱       主機=命令

cmnd_alias 別名(大寫)=命令    //定義命令別名

user_alias 別名(大寫)=使用者名稱  //定義使用者別名

host_alias 別名(大寫)=網段，ip位址  //定義主機別名

注：命令可取反，如!/bin/(除/bin/目錄外)

sudo -l                      //檢視當前使用者所有可使用sudo提權的命令

2)日誌記錄

1.vim /etc/sudoers

defaults logfile=/var/log/sudo      //定義日誌記錄並指定儲存位置

2.tail -f /var/log/sudo

五、pam認證

1)支援login、遠端、su等

2)/etc/pam.d/               //pam認證模組存放位置

vim /etc/pam.d/su

認證型別  控制型別  pam模組及其引數

詳解：認證型別：

auth(authentication managenment，認證管理)：接受使用者名稱和密碼，並對其認證操作

password(password managenment，密碼管理)：修改使用者密碼

session(session managenment，會話管理)，提供會話和記賬管理

控制型別：

required：驗證失敗後返回fail並繼續驗證

requisite：驗證失敗後立即結束並返回fail

sufficient：驗證成功後立即結束並不再繼續，如果無則繼續驗證

optinonal：不驗證，只顯示資訊(session)

hehe haha huohuo

成功 成功 失敗

auth  required  pam.so  fail

auth  requisite pan.so  fail

auth  sufficient pan.so

案例：控制只有屬於wheel組使用者方可切換到root使用者

1)    vim /etc/pam.d/su

auth  required  pam_wheel.so use_uid

2)新建兩個使用者

useradd hehe && useradd haha

echo "123" | passwd --stdin hehe

echo "123" | passwd --stdin haha

3)gpasswd -a hehe wheel        //將hehe使用者加入wheel組

4)驗證hehe使用者

su - hehe

su - root                   //由於hehe屬於wheel，因此可切換至root

5)驗證haha使用者

su - haha

su - root                   //不能切換

六、開關機安全控制

1)禁用熱鍵

vim /etc/init/control-alt-delete.conf

注釋掉最後一行(加#)

2)grub選單限制

1>明文

vim /boot/grub/grub.conf

password 密碼

title之前

2>密文

grub-md5-crypt                  //將輸入的字串使用md5方式轉換

vim /boot/grub/grub.conf

password --md5 加密字串

title之前

3)減少tty終端數量

vim /etc/sysconfig/init

action_consoles=/dev/tty[1-6]              //改動tty[1-6]數值可實現控制

4)禁止普通使用者登入

touch /etc/nologin

rm -rf /etc/nologin                    //解鎖，普通可登入

5)掃瞄

nmap -a -o -po -vv 網段/ip/網域名稱            //掃瞄指定主機的os、埠、mac等資訊

-po：主機禁止ping時，可強制掃瞄

-su：掃瞄udp

-st：掃瞄tcp

-p：掃瞄指定埠

Linux安全 訪問控制機制 ACM

acm 即access control mechanism acm為系統管理員提供了一種控制哪些使用者 程序可以訪問不同的檔案 裝置和介面等的一種方式。當需要確保計算機系統或網路安全時，acm是乙個主要的考慮因素。acm主要有以下6種方式 1 自主訪問控制 discretionary access ...

Spring安全控制

class org.springframework.security.vote.affirmativebased value false class my.mybasedsecuritycontextrepository accessdecisionmanager作為主入口，進行全新判斷。其下有若干...

安全和訪問控制

ldap提供很複雜的不同層次的訪問控制或者aci。因這些訪問可以在伺服器端控制，這比用客戶端的軟體保證資料的安全可安全多了。可以完成 給予使用者改變他們自己的 號碼和家庭位址的權 限，但是限制他們對其它資料 如，職務名稱，經理的登入名，等等 只有 唯讀 權 限。禁止任何人查詢ldap伺服器上的使用者...