Linux系统的安全设置

Posted Jzy的博客

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Linux系统的安全设置相关的知识,希望对你有一定的参考价值。

在 Linux系统中,除了用户手动创建的各种账号之外,还包括随系统或程序安装过程而生成的其他大量账号。除了超级用户
root 之外,其他大量账号只是用来维护系统运作、启动或保持服务进程,一般是不允许登录的,因此也称为非登录用户账号。

常见的非登录用户账号包括
bin、daemon、adm、lp、mail 等。为了确保系统安全,​​这些用户账号的登录Shell 通常是/sbin/nologin,表示禁止终端登录​,应确保不被人为改动。

--------------------------------------------------------------------------------------------

root@localhost~]# grep "/sbin/nologin$" /etc/passwd

bin:x:1:1:bin:/bin:/sbin/nologin

daemon:x:2:2:daemon:/sbin:/sbin/nologin

adm:x:3:4:adm:/var/adm:/sbin/nologin

lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin

mail:x:8:12:mail:/var/spool/mail:/sbin/nologin

......
//省略部分内容

--------------------------------------------------------------------------------------------


锁定用户

对于 Linux服务器中长期不用的用户账号,若无法确定是否应该删除,可以暂时将其锁定。例如,若要锁定、解锁名为
zhangsan 的用户账号,可以执行以下操作(passwd、usermod命令都可用来锁定、解锁账号)。

[root@localhost~]# usermod -L zhangsan //锁定账号

[root@localhost~]# passwd -S zhangsan //查看账号状态

zhangsan LK 2017-08-24 0 99999 7 -1 (密码已被锁定。)

[root@localhost~]# usermod -U zhangsan //解锁账号

[root@localhost~]# passwd -S zhangsan

zhangsan PS 2017-08-24 0 99999 7 -1 (密码已设置,使用 SHA512 算法。

锁定文件

如果服务器中的用户账号已经固定,不再进行更改,还可以采取锁定账号配置文件的方法。使用
chattr 命令,分别结合“+i”“-i”选项来锁定、解锁文件,使用 lsattr 命令可以查看文件锁定情况。

--------------------------------------------------------------------------------------------

[root@localhost~]# chattr +i /etc/passwd /etc/shadow //锁定文件

[root@localhost~]# lsattr /etc/passwd /etc/shadow //查看为锁定的状态

----i-----------/etc/passwd

----i-----------/etc/shadow

[root@localhost~]# chattr -i /etc/passwd /etc/shadow //解锁文件

[root@localhost~]# lsattr /etc/passwd /etc/shadow //查看为解锁的状态

----------------/etc/passwd

----------------/etc/shadow

--------------------------------------------------------------------------------------------

在账号文件被锁定的情况下,其内容将不允许变更,因此无法添加、删除账号,也不能

更改用户的密码、登录 Shell、宿主目录等属性信息。

--------------------------------------------------------------------------------------------

[root@localhost~]# chattr +i /etc/passwd /etc/shadow

[root@localhost~]# useradd billgate

useradd:无法打开/etc/passwd

--------------------------------------------------------------------------------------------

密码安全控制

执行以下操作可将密码的有效期设为 30 天(chage 命令用于设置密码时限)。

--------------------------------------------------------------------------------------------

[root@localhost~]# vi /etc/login.defs //适用于新建的用户

......
//省略部分内容

PASS_MAX_DAYS30

[root@localhost~]# chage -M 30 lisi //适用于已有的 lisi 用户

--------------------------------------------------------------------------------------------

用户下次登录时强制更改密码

在某些特殊情况下,如要求批量创建的用户初次登录时必须自设密码,根据安全规划统一要求所有用户更新密码等,可以由管理员执行强制策略,以便用户在下次登录时必须更改密码。例如,执行以下操作可强制要求用户zhangsan 下次登录时重设密码。

--------------------------------------------------------------------------------------------

[root@localhost~]# chage -d 0 zhangsan

Localhost
login: zhangsan

password:

Youare required to change your password immediately (root enforced)

Changingpassword for zhangsan.

(current)UNIX password:

New password:

Retype new password:

--------------------------------------------------------------------------------------------

命令历史、自动注销

命令历史

Bash终端环境中,历史命令的记录条数由变量 HISTSIZE 控制,默认为 1000 条。通过修改/etc/profile
文件中的 HISTSIZE 变量值,可以影响系统中的所有用户。

--------------------------------------------------------------------------------------------

[root@localhost ~]# vi /etc/profile //适用于新登录用户

HISTSIZE=200

[root@localhost~]# export HISTSIZE=200 //适用于当前用户

--------------------------------------------------------------------------------------------

除此之外,还可以修改用户宿主目录中的~/.bash_logout文件,添加清空历史命令的操作语句。这样,当用户退出已登录 Bash环境以后,所记录的历史命令将自动清空。

--------------------------------------------------------------------------------------------

[root@localhost~]# vi ~/.bash_logout

history
-c

clear

--------------------------------------------------------------------------------------------

自动注销

Bash终端环境中,还可以设置一个闲置超时时间,当超过指定的时间没有任何输入时即自动注销终端,这样可以有效避免当管理员不在时其他人员对服务器的误操作风险。闲置超时由变量TMOUT 来控制,默认单位为秒(s)

--------------------------------------------------------------------------------------------

[root@localhost~]# vi /etc/profile //适用于新登录用户

......
//省略部分内容

export
TMOUT=600

[root@localhost~]# export TMOUT=600 //适用于当前用户

--------------------------------------------------------------------------------------------

需要注意的是,当正在执行程序代码编译、修改系统配置等耗时较长的操作时,应避免设置 TMOUT变量。必要时可以执行“unset TMOUT”命令取消 TMOUT 变量设置。


以上是关于Linux系统的安全设置的主要内容,如果未能解决你的问题,请参考以下文章

在Linux系统中禁用22端口之后会有啥影响?

linux系统三种网络设置模式

为啥宿主机不能访问虚拟机

在Linux系统中禁用22端口之后会有啥影响?

win10 hyper-v 虚拟机ping不通宿主机问题

vm虚拟机中debian(linux)如何找到宿主机的文件