Linux/Centos7系統(tǒng)管理之系統(tǒng)安全及應(yīng)用1.賬號安全控制?
2.系統(tǒng)引導(dǎo)和登錄控制?
3.弱口令檢測?
4.端口掃描?
一、賬號安全控制1.1基本安全措施1.1.1系統(tǒng)賬號清理 ??（1）在Linux系統(tǒng)中，除了用戶手動創(chuàng)建的各種賬號之外，還包括一些隨系統(tǒng)或程序安裝過程而產(chǎn)生的其他大量賬號。除了root用戶，大部分的非登錄用戶（bin、daemon、adm、nobody、lp、apache等）是不能登錄的。?
使用grep命令可以查看非登錄用戶如下：?
[root@localhost ~]# grep "/sbin/nologin$" /etc/passwdbin:x:1:1:bin:/bin:/sbin/nologindaemon:x:2:2:daemon:/sbin:/sbin/nologinadm:x:3:4:adm:/var/adm:/sbin/nologinlp:x:4:7:lp:/var/spool/lpd:/sbin/nologinmail:x:8:12:mail:/var/spool/mail:/sbin/nologinoperator:x:11:0:operator:/root:/sbin/nologingames:x:12:100:games:/usr/games:/sbin/nologinftp:x:14:50:FTP User:/var/ftp:/sbin/nologinnobody:x:99:99:Nobody:/:/sbin/nologinsystemd-network:x:192:192:systemd Network Management:/:/sbin/nologindbus:x:81:81:System message bus:/:/sbin/nologinpolkitd:x:999:998:User for polkitd:/:/sbin/nologinabrt:x:173:173::/etc/abrt:/sbin/nologinlibstoragemgmt:x:998:996:daemon account for libstoragemgmt:/var/run/lsm:/sbin/nologinrpc:x:32:32:Rpcbind Daemon:/var/lib/rpcbind:/sbin/nologincolord:x:997:995:User for colord:/var/lib/colord:/sbin/nologinsaslauth:x:996:76:Saslauthd user:/run/saslauthd:/sbin/nologinrtkit:x:172:172:RealtimeKit:/proc:/sbin/nologinpulse:x:171:171:PulseAudio System Daemon:/var/run/pulse:/sbin/nologinchrony:x:995:991::/var/lib/chrony:/sbin/nologinrpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologinnfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologinntp:x:38:38::/etc/ntp:/sbin/nologintss:x:59:59:Account used by the trousers package to sandbox the tcsd daemon:/dev/null:/sbin/nologinusbmuxd:x:113:113:usbmuxd user:/:/sbin/nologingeoclue:x:994:989:User for geoclue:/var/lib/geoclue:/sbin/nologinqemu:x:107:107:qemu user:/:/sbin/nologinradvd:x:75:75:radvd user:/:/sbin/nologinsetroubleshoot:x:993:988::/var/lib/setroubleshoot:/sbin/nologinsssd:x:992:987:User for sssd:/:/sbin/nologingdm:x:42:42::/var/lib/gdm:/sbin/nologingnome-initial-setup:x:991:986::/run/gnome-initial-setup/:/sbin/nologinsshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologiavahi:x:70:70:Avahi mDNS/DNS-SD Stack:/var/run/avahi-daemon:/sbin/nologinpostfix:x:89:89::/var/spool/postfix:/sbin/nologintcpdump:x:72:72::/:/sbin/nologin ??（2）而對于Linux服務(wù)器中長期不用的用戶賬號，若無法確定是否應(yīng)該刪除，可以暫時將其鎖定。?
[root@localhost ~]# usermod -L zhangsan[root@localhost ~]# passwd -S zhangsanzhangsan LK 2019-11-15 0 99999 7 -1 (密碼已被鎖定。)[root@localhost ~]# passwd -u zhangsan解鎖用戶?zhangsan?的密碼。passwd:?操作成功 ??（3）當(dāng)然，在服務(wù)器中如果說用戶賬號已經(jīng)固定，不再更改，還可以采取鎖定賬號配置文件的方法，使用chattr（change attribution —更改文件狀態(tài)）命令。?
[root@localhost ~]# chattr +i /etc/passwd /etc/shadow[root@localhost ~]# lsattr /etc/passwd /etc/shadow----i----------- /etc/passwd----i----------- /etc/shadow[root@localhost ~]# useradd lisiuseradd：無法打開?/etc/passwd[root@localhost ~]# chattr -i /etc/passwd /etc/shadow[root@localhost ~]# lsattr /etc/passwd /etc/shadow---------------- /etc/passwd---------------- /etc/shadow[root@localhost ~]# useradd lisi命令解釋：+i表示鎖定，-i表示解鎖，lsattr表示查看狀態(tài)?
1.1.2密碼安全控制 ??設(shè)定密碼期限的方法結(jié)合實例來講述?
?[root@localhost ~]#head -25 /etc/login.defs ?|tail -1PASS_MAX_DAYS ??99999[root@localhost ~]# vim /etc/login.defs [root@localhost ~]# head -25 /etc/login.defs |tail -1PASS_MAX_DAYS ??30[root@localhost ~]# useradd wangwu[root@localhost ~]# passwd wangwu更改用戶?wangwu?的密碼 。新的 密碼：無效的密碼： 密碼少于?8?個字符重新輸入新的 密碼：passwd：所有的身份驗證令牌已經(jīng)成功更新。[root@localhost ~]# tail -1 /etc/shadowwangwu:$6$pDVLca5K$iy9JAb4PzbG14d3XfG8ei7dV0YnJFjOwRJVMzs3bMFyp.XPEkv0WO5XaGViv.4.n1jp5fPSCDHanJh3j3Am4f1:18215:0:30:7:::操作解釋：查看/etc/login.defs文件中第25行內(nèi)容，用vim編輯器進去修改，將其改為30，表示最長使用時間，即密碼的有效期為30天。該方式只針對之后新建的用戶，那么對于原有用戶如何操作呢？答案是使用chage命令。?
[root@localhost ~]# tail -3 /etc/passwdzhangsan:x:1001:1001::/home/zhangsan:/bin/bashlisi:x:1002:1002::/home/lisi:/bin/bashwangwu:x:1003:1003::/home/wangwu:/bin/bash[root@localhost ~]# chage -M 20 lisi[root@localhost ~]# chage -M 20 wangwu[root@localhost ~]# tail -3 /etc/shadowzhangsan:$6$WsyIZguS$ZsJObVyyFzwxT2p0RoIemdrQjLUmoKDkzY8DlrtctYLBzxl0ja3rcp84BP3D5MTHfK.pj1IKAZpezYUwv1d/p0:18215:0:99999:7:::lisi:$6$yo1cSlqf$tR5J63h7yOdhqearLDVb8nOfpBlJE6Oem9h5bkREzCRDBA.7OsT.wsX5zJ3I.BUbHxfaw56JbP0IkDyAGwbCi0:18215:0:20:7:::wangwu:$6$pDVLca5K$iy9JAb4PzbG14d3XfG8ei7dV0YnJFjOwRJVMzs3bMFyp.XPEkv0WO5XaGViv.4.n1jp5fPSCDHanJh3j3Am4f1:18215:0:20:7:::當(dāng)然了，如果是批量創(chuàng)建的用戶初次登錄時必須自設(shè)密碼，由管理員執(zhí)行強制策略，以便下次登錄時必須修改密碼。使用“chage -d 0?用戶名”來進行設(shè)置。?
1.1.3命令歷史、自動注銷一般情況下，歷史命令默認是記錄1000條，對于新登錄用戶修改/etc/profile文件將HISTSIZE更改即可?
當(dāng)前用戶則直接在當(dāng)前bash終端更改：export HISTSIZE=100?
[root@localhost ~]# echo "HISTSIZE=10" >> /etc/profile ??//對于新登錄用戶[root@localhost ~]# tail -1 /etc/profileHISTSIZE=10[root@localhost ~]#su - lisi[lisi@localhost ~]$ history ???22 ?clear ??23 ?ls ??24 ?cd /etc/ ??25 ?ls ??26 ?cd .. ??27 ?cd ???28 ?ls ??29 ?history ???30 ?ls ??31 ?history [root@localhost ~]# export HISTSIZE=5 ?????????????????????????//對于當(dāng)前bash終端用戶[root@localhost ~]# history ???6 ?grub2-mkconfig -o /boot/grub2/grub.cfg ???7 ?init 6 ???8 ?cd ???9 ?export HISTSIZE=5 ??10 ?history當(dāng)然，還可以修改用戶宿主目錄下的~/.bash_logout文件,當(dāng)用戶退出后所記錄的歷史命令將自動清空。?
也可以設(shè)置一個閑置超時時間——多久不操作就自動注銷（修改TMOUT變量，不推薦）?
[root@localhost ~]# cat ~/.bash_logout # ~/.bash_logout[root@localhost ~]# echo "history -c" >> ~/.bash_logout [root@localhost ~]# echo "clear" >> ~/.bash_logout [root@localhost ~]# cat ~/.bash_logout # ~/.bash_logouthistory -cclear[root@localhost ~]# source ~/.bash_logout [root@localhost ~]# history ????3 ?history [root@localhost ~]# 1.2用戶切換與提權(quán) ??一般情況下，大多數(shù)Linux服務(wù)器不建議用戶直接以root用戶進行登錄。一方面可以大大減少因誤操作而導(dǎo)致的破壞，另一方面也降低了特權(quán)密碼在不安全的網(wǎng)絡(luò)中被泄露的風(fēng)險。?
??在Linux系統(tǒng)為我們提供su、sudo兩種命令，其中su命令主要用來切換用戶，而sudo命令用來提升執(zhí)行的權(quán)限。?
1.2.1 su命令——切換用戶 ??su命令，可以切換為指定的另一個用戶，從而具有該用戶的所有權(quán)限。其中選項“-”表示切換用戶后進入目標(biāo)用戶的登錄shell環(huán)境，若沒有選擇該選項，則只是切換用戶，不切換用戶環(huán)境。對于切換為root用戶的情況，“root”可以省略。?
??默認情況下，任何用戶都允許使用su命令，從而有機會反復(fù)嘗試其他用戶的登錄密碼，帶來安全風(fēng)險。為了加強su命令的使用控制，可以借助于pam_wheel認證模塊，只允許個別用戶使用su命令進行切換。具體實例如下：?
[root@localhost ~]# su - lisi上一次登錄：五?11月?15 10:24:08 CST 2019pts/0?上[lisi@localhost ~]$ su -密碼：上一次登錄：五?11月?15 10:25:26 CST 2019從?192.168.68.1pts/1?上[root@localhost ~]# su zhangsan[zhangsan@localhost root]$ su密碼：[root@localhost ~]# gpasswd -a zhangsan wheel正在將用戶“zhangsan”加入到“wheel”組中[root@localhost ~]# grep wheel /etc/groupwheel:x:10:zhangsan[root@localhost ~]# head -6 /etc/pam.d/su | tail -1#auth ??????required ???pam_wheel.so use_uid[root@localhost ~]# vim /etc/pam.d/su[root@localhost ~]# head -6 /etc/pam.d/su | tail -1auth ???????required ???pam_wheel.so use_uid[root@localhost ~]# su - lisi上一次登錄：五?11月?15 10:48:56 CST 2019pts/1?上[lisi@localhost ~]$ su -?密碼：su:?拒絕權(quán)限[lisi@localhost ~]$ exit登出[root@localhost ~]# su - zhangsan上一次登錄：五?11月?15 10:49:10 CST 2019pts/1?上最后一次失敗的登錄：五?11月?15 10:56:24 CST 2019pts/1?上最有一次成功登錄后有?1?次失敗的登錄嘗試。[zhangsan@localhost ~]$ su -密碼：上一次登錄：五?11月?15 10:49:17 CST 2019pts/1?上最后一次失敗的登錄：五?11月?15 10:57:26 CST 2019pts/1?上最有一次成功登錄后有?2?次失敗的登錄嘗試。命令解釋：?
??使用gpasswd命令將zhangsan用戶添加到wheel組中，編輯/etc/pam.d/su文件，刪除第6行的#號，嘗試切換其他用戶，由于lisi不在wheel組中，所以是拒絕權(quán)限的，但是張三可以正常切換到root，是因為他在wheel組中。su命令的執(zhí)行操作將會記錄到安全日志/var/log/secure中。

了解更多網(wǎng)絡(luò)知識關(guān)注：http://www.vecloud.com/