新的服务器到手之后,需要部署服务器的初始化。
部署服务器的步骤:1.配置ip地址、网关、dns解析(static静态地址)、内网和外网
2.安装源(外网 在线仓库 内网 只能用源码包编译安装)
3.磁盘分区 lvm raid
4.系统权限配置和安全加固
系统安全
1.保护数据安全(尤其是客户信息、财务信息)
2.互联网,网络业务服务 必须要通过工信部的资质审核
3.保护品牌形象
应用
一、用户安全控制
1.禁止用户登录
usermod -s nologin 用户名 (需要管理员权限)
2.锁定用户
usermod -L 用户名 锁定用户
usermod -U 用户名 解锁用户
passwd -l 用户名 锁定用户
passwd -u 用户名 解锁用户
3.删除无用账号
userdel -r 用户名
4.锁定重要的文件
重要文件有:passwd 、shadow、 fastab 、ifcfg-ens33
lsattr /etc/passwd 查看文件的状态
—————- /etc/passwd 表明没有状态
chattr +i /etc/passwd /etc/shadow 锁定文件(锁定之后只能只读)
chattr -i /etc/passwd /etc/shadow 解锁文件
5.修改主机名
hostnamectl set-hostname
二、密码安全控制
新建的用户:
vim /etc/login.defs
已有的用户:
chage -M 30 用户名
如何强制用户在下一次登录的时候修改密码?
chage -d 0 用户名 (检测用户密码过于简单)
三、限制命令的历史记录
history -c 临时清除历史记录
vim /etc/profile 修改历史记录
四、设置登录的超时时间
vim /etc/profile 在视图模式最后加 TMOUT=10(10秒之内没有操作就会退出登录)
五、限制普通用户切换用户
su – 用户名 切换用户
在root用户下,su相当于刷新
六、PAM认证
PAM安全认证:Linux系统身份认证的架构,提供了一种标准的身份认证的接口,允许管理员可以自定义认证的方式
PAM的认证类型:
认证模块:验证用户的身份,基于密码的认证方式
授权模块:控制用户对系统资源的访问,文件权限,进程的权限
账户管理模块:管理账户信息,密码过期策略,账户锁定策略
会话管理模块:管理用户会话,注销用户等等
认证方式的控制位:(必须要满足充分和必要条件才能通过)
required:一票否决,只有成功才能通过认证,认证失败,也不会立即结束,只有所有的要素验证完整才会最终返回结果,必要条件
requisite:一票否决,只有成功才能通过,但是一旦失败,其他要素不再验证,立即结束,必要条件
sufficient:一票通过,成功了之后就是满足条件,但是失败了,也可忽略。成功了执行验证成功的结果,失败返回验证失败的结果,最终的结果,充分条件
optional:选项 ,反馈给用户的提示或者结果
怎么用PAM模块对su进行限制?
vim /etc/pam.d/su 然后进去视图模式把 第6行取消注释
wheel组 这个在组文件当中没有,它隐藏的,它是一个特殊组,是用来控制系统管理员的权限的一个特殊组,wheel组专门用来为root服务
具体来说,如果普通用户加入到了wheel组,就可以拥有管理员才能执行的一些权限。但是前面必须要加上sudo 之后才能可以使用wheel组的特殊权限。
wheel组默认是空的,没有任何成员,需要管理员账号手动添加,配置sudo的规则,然后以sudo的方式,才能够运行特定的指令(管理员才能执行的权限)
wheel组的权限很大,配置的时候需要以最小的权限的原则进行配置
普通用户谁在wheel组中谁才能切换用户
七、sudo
sudo 相当于给普通用户赋予管理员的权限(最小权限,管理员可以使用的命令)
vim /etc/sudoers
八、开关机安全控制
grub 菜单加密
grub2-setpasswd 设置菜单密码
总结:你会做哪些系统加固?
1.锁定重要文件
2.修改history命令的历史记录
3.禁止普通用户切换用户
4.设置sudo 权限 给普通用户
5.设置grub菜单加密
6.把一些默认的端口号改掉
7.内核参数(vim /etc/sysctl.conf)