linux安全基础

对于我这个刚入行没多久的it宅来说，只是在做做自己喜欢的事情罢了，最近在阿里云购买了一个云主机服务器，针对自己不太熟悉的知识进行巩固和学习，阿里 云可以说是最接近服务生产环境的了，我还是新手，请各位长辈多多包涵！
       自己总结linux安全防范的知识与配置方法：
       用户的管理，系统中有很多用户，有的是用来登录系统shell的，有的则是为运行某一服务而建立的；运行服务的用户通常不需要登录系统，我们可以cat /etc/passwd来判断哪些用户是系统用户，哪些是服务进程的用户。
     系统用户（root）拥有最高权限，那些不用来登录系统的用户passwd内后面都会指定/sbin/nologin/禁止登录系统的shell；如果系统内用户都已经固定，不需要修改了，可以锁定配置文件来进行禁止创建新的用户，使用chattr +i /etc/passed /etc/shadow锁定文件，-i则表示解锁文件，解锁后仍可以创建新的用户
      用户账号强制密码最长使用期限：
      vi /etc/login.defa中添加修改（只对后来创建用户有效，对已存在用户使用chage -M 天数  用户  来修改）
      PASS_MAX_DAYS        30
       输入检查完毕后wq保存即可
       linux执行命令都会保存一定条数的命令历史，这对于安全性要求很高的服务器来说而言是不能允许的，因为命令历史全部以明文方式记录在主（root）或 其他用户家目录.bash_history里，一旦有人获取命令历史文件，那么用户操作的过程将一览无余，如果输入历史中存在明文密码，那将又是多了一个 安全隐患
      那么我们可以修改vim /etc/profile文件，找到HISTSIZE项设置历史记录命令条数
       HISTSIZE=200                            //表示最多记录两百条历史命令
       此外修改用户家目录下的vim ./bash_logout可以实现用户退出shell环境终端清空输入的历史命令
       history -c                              //清空命令历史
      clear
       修改vim /etc/profile来对用户进行空闲超时时间的操作退出，防止管理员不在时其他人员对服务器进行操作，在文件中找到export TMOUT项
       export TMOUT=600                 //表示用户六百秒未进行任何操作将自动退出shell
       普通用户su命令提权，普通用户有时需要使用root权限的shell命令，但又不登录root账号，这时就需要对普通用户开放某些特殊权限命令
      如普通用户shell下：su - root   输入密码来进入root账号进行命令行操作，如果限定只有某些用户来su登录root管理员账号，那就需要设置添加授权用户了 ，启用pam_wheel认证后，未加入wheel组的用户将无法使用su命令来切换到root账号，其操作如下（仅供参考）
     gpasswd -a lisi wheel
      vim /etc/pam.d/su
     #%PAM-1.0
     auth     aufficient            pam_rootok.so
     auth     required             pam_wheel.so  use_uid                     //找到此行去掉#号注释
     GRUB引导菜单设置密码，GRUB菜单我们可以用来进行系统修复，这种方式可以不用通过系统验证获得root权限，这无疑是一个极大的安全威胁，对此我们可以设置一个GRUB密码，只有输入正确才能对GRUB底层shell进行修改，方式如下：
     grub-md5-crypt                          //输入两次安全密码进行md5加密
     vim  /boot/grub/grub.con
 ## grub.conf generated by anaconda
#
# Note that you do not have to rerun grub after making changes to this file
# NOTICE:  You do not have a /boot partition.  This means that
#          all kernel and initrd paths are relative to /, eg.
#          root (hd0,0)
#          kernel /boot/vmlinuz-version ro root=/dev/xvda1
#          initrd /boot/initrd-[generic-]version.img
#boot=/dev/xvda
default=0
timeout=5
splashimage=(hd0,0)/boot/grub/splash.xpm.gz
hiddenmenu
password --md5   $1$DpQOE$2cO7.Sfc1EsgcQBUC7hRP.        //添加上加密密码          
title CentOS (2.6.32-431.23.3.el6.i686)
        root (hd0,0)
        kernel /boot/vmlinuz-2.6.32-431.23.3.el6.i686 ro root=UUID=e76a7b8d-20c2-4f94-bdd1-f4054a34c206 rd_NO_LUKS rd_NO_LVM LANG=en_US.UTF-8 rd_NO_MD SYSFONT=latarcyrheb-sun16 crashkernel=auto  KEYBOARDTYPE=pc KEYTABLE=us rd_NO_DM rhgb quiet
        initrd /boot/initramfs-2.6.32-431.23.3.el6.i686.img
     
    vim /etc/security 可以修改系统启动时加载的配置文件  init q 重新读取系统配置文件


至此我总结记录的简单就这些，希望多少有点帮助

本文出自 “linux窝” 博客，请务必保留此出处http://xiangcc.blog.51cto.com/10201823/1647334