系统安全重要性

系统安全对于个人或则企业来说是非常重要的

系统安全的类型

 1. 信息安全：确保系统中的数据受到保护，防止信息泄露或盗窃。

2. 网络安全：保护计算机网络不受外部攻击和内部破坏。

3. 应用程序安全：确保软件和应用程序不受到漏洞、恶意代码和攻击。

4. 数据库安全：保护数据库中的数据不受非法访问、篡改或删除。

5. 操作系统安全：确保操作系统不受恶意软件、病毒和黑客攻击。

6. 物理安全：保护计算机系统和设备不受盗窃、灾害和恶意破坏。

7. 人员安全：确保系统的用户和管理员不会被欺诈、社交工程和非法访问等攻击。

账号安全的基本措施

系统账号安全控制

锁定不需要的账号

passwd  ————————    passwd -l 用户名（锁定） -u（解锁）

usermod ————————   usermod - L  用户名（锁定） -u （解锁）

锁定不需要的账号

userdel   -r  用户名    连家目录一起删除

锁定账号文件passwd 、shadow

chattr +i /etc/passwd  

              /etc/shadow 锁定文件，包括root也无法修改

chattr -i /etc/passwd

              /etc/shadow   解锁文件

lsattr /etc/passwd     lsattr /etc/shdow 查看文件状态属性

密码安全控制

设置密码有效期

每个账号都有规定的密码有效期。，每个账号根据权限不同有效期都不相同

 密码控制是： 文本格式密码

密码的有效期：到了一定的时间点，强制用户修改密码，指纹登陆控制、生物控制、二维码技术控制

新用户修改，已有用户不在此范围

vim /etc/ login.defs

修改PASS_MAX_ DAYS来修改最长有效期

修改已有用户密码有效天数：

命令 选项  天数 用户名 

例如：.   chage  -M 30 （用户名 ）指定特定的用户的密码有效期，M后面跟的天数

强制用户下次登陆时，修改密码

chage -d 0 boge

vim /etc/shudom  直接改 不建议

对历史命令进行限制

清空历史命令，限制历史命令数量  

临时清空历史记录方式

history -c 

永久修改历史记录

vim /etc/profile                           进入配置文件

搜索“HISTSIZE”   HISTSIZE=1000(系统默认)  限制条数修改为50 （工作一般设置的数值）

保存退出后,刷新：source /etc/profile是文件立即生效

清除历史记录方法

退出终端清楚历史记录

“vim .bash_ logout

编辑： echo " " >~/ .bash_ logout

完成编辑，保存退出

开机后，清楚终端的历史记录

设置登陆超时时间

主要针对远程连接工具，释放资源防止阻塞

命令：

”vim /etc/profile

跳转只底行（最下面），进行编辑

底行添加： Tmout= 60（60秒内无操作，自动退出）

su命令

命令：

 su - dd(用户名)： 完全切换

su  用户  ： 不完全切换（环境变量不变）

 su   刷新 （在root用户下，可以刷新）

exit ：退出当前登录用户

用户切换时的密码验证安全机制

1. root>任意用户，不验证密码，（管理员切换普通用户不需要输入密码）
2. 普通用户>其他用户，验证目标用户的密码（验证成功才能登陆）

 使用su命令进行切换

为了方便，给一些类似管理员权限给普通用户这些用户只能在自己用户界面使用，不能随便切换到其他用户，

方式方法

允许将使用su命令的，加入到wheel组中

wheel组是什么

wheel组是一个特殊的组，主要用于控制用户的访问权限，加入wheel后，可以和root管理员一样使用一些敏感的命令（在一般情况下只有root用户才能访问，普通用户没有权限）

这些用户可以使用 sudo 命令以 root 用户身份执行这些命令或访问这些文件。

授予权限的原因：

管理员可能希望授权一些非特权用户执行特定的命令或访问某些文件，这时候就可以使用 wheel 组来实现

限制条件：sudu  

可以和管理员一样执行root管理员命令，必须加入wheel组，

wheel组默认为空，是手动添加的，会进行限制只能使用特定的一些命令

命令切换：

“vim /etc/pam.d  /su

进入编辑第六行：  auth     require     pam_wheel.so use_uid

普通用户之间切换su  将会收到限制 ，除非加入wheel组，否则不能进行随意切换

例如：将”boge“加入wheel

     gpasswd -a boge wheel

认证模块第6行取消注释（此行利用UID号来进行限制）

 加入wheel后，无法随意切换，只能在自己的用户环境使用

PAM认证模块

原因：默认情况下，任何用户都允许使用su命令，有机会反复尝试其他用户 (如root) 的登录密码，带来安全风险，同时，为了加强su命令的使用控制，可借助于PAM认证模块只允许极个别用户使用su命令进行切换

原理:

PAM的作用：

提供一种标准的身份认证接口，管理员可以定制化配置各种认证方式，

PAM可插拔式认证模块

什么是可插拔： 即配即用，即删即失效（无需重启刷新）

机制：当打开之后———su这个命令进行验证和限制——用户随意切换账号——除非加入wheel否则不能进行账号切换

例如： su - boge      gpasswd -a boge wheel

su  ——root配置文件 ——su模块是否启动—— 用户UID在不在wheel组（不在不允许切换）——在的话，正常切换

PAM文件所在位置

最终认证文件所在： ls /lib64/security

所有认证模块所在：ls /etc/pam.d/

PAM可以分为： 认证模块、授权模块、模块的参数和配置项

认证模块中：

	释义
auth	用户身份
account	账户的有效性
password	用户修改密码时的机制校验
session	会话控制，控制最多打开的文件数，能开多少进程

第二列  授权模块

	释义
required	一票否决权，表示之认证成功才能进行下一步，但是如果认证失败，结果也不会立即通知用户，而是等所有的认证走完，才会给用户回馈
requisite	一票否决，只要返回失败，就会立刻通知反馈用户
sufficient	一票通过，如果返回成功，就不会再执行跟他相同模块内的认证，其他模块返回失败，也可以忽略
optional	可选项，可有可无