仓酷云

标题: 来一发CentOS体系账户和登录宁静 [打印本页]

作者: 再现理想 时间: 2015-1-14 20:20
标题: 来一发CentOS体系账户和登录宁静
如果您觉得本篇CentOSLinux教程讲得好，请记得点击右边漂浮的分享程序，把好文章分享给你的好朋友们！1、公道利用Shell汗青下令纪录功效
在Linux下可经由过程history下令检察用户一切的汗青操纵纪录，同时shell下令操纵纪录默许保留在用户目次下的.bash_history文件中，经由过程这个文件能够查询shell下令的实行汗青，有助于运维职员举行体系审计和成绩排查，同时，在办事器蒙受黑客打击后，也能够经由过程这个下令或文件查询黑客登录办事器所实行的汗青下令操纵，可是偶然候黑客在进侵办事器后为了扑灭陈迹，大概会删除.bash_history文件，这就必要公道的回护或备份.bash_history文件。上面先容下history日记文件的宁静设置***。
默许的history下令只能检察用户汗青操纵纪录，其实不能辨别每一个用户操纵下令的工夫，这点关于排查询题非常方便，不外能够经由过程上面的***（到场四行内容）让history下令主动纪录一切shell下令的实行工夫，编纂/etc/bashrc文件：
HISTFILESIZE=4000
HISTSIZE=4000
HISTTIMEFORMAT=%F%T
exportHISTTIMEFORMAT

个中，HISTFILESIZE界说了在.bash_history文件中保留下令的纪录总数，默许值是1000，这里设置为4000；HISTSIZE界说了history下令输入的纪录总数；HISTTIMEFORMAT界说工夫显现格局，这里的格局与date下令后的“+"%F%T"”是分歧的；HISTTIMEFORMAT作为history的工夫变量将值传送给history下令。
经由过程如许的设置后，实行history下令，就会显现每一个汗青下令的具体实行工夫，比方：
[root@server~]#history
2472013-10-0517:16:28vi/etc/bashrc
2482013-10-0517:16:28top
2492013-10-0517:04:18vmstat
2502013-10-0517:04:24ps-ef
2512013-10-0517:16:29ls-al
2522013-10-0517:16:32lsattr
2532013-10-0517:17:16vi/etc/profile
2542013-10-0517:19:32date+"%F%T"
2552013-10-0517:21:06lsof
2562013-10-0517:21:21history

为了确保办事器的宁静，保存shell下令的实行汗青长短常有效的一条技能。shell固然有汗青功效，可是这个功效并不是针对审计目标而计划，因而很简单被黑客改动或是丧失。上面再先容一种***，能够完成具体纪录登录过体系的用户、IP地点、shell下令和具体操纵工夫等，并将这些信息以文件的情势保留在一个宁静的中央，以供体系审计和妨碍排查。
将上面这段代码增加到/etc/profile文件中，便可完成上述功效。
#history
USER_IP=`who-uami2>/dev/null|awk{print$NF}|sed-es/[()]//g`
HISTDIR=/usr/share/.history
if[-z$USER_IP]
then
USER_IP=`hostname`
fi
if[!-d$HISTDIR]
then
mkdir-p$HISTDIR
chmod777$HISTDIR
fi
if[!-d$HISTDIR/${LOGNAME}]
then
mkdir-p$HISTDIR/${LOGNAME}
chmod300$HISTDIR/${LOGNAME}
fi
exportHISTSIZE=4000
DT=`date+%Y%m%d_%H%M%S`
exportHISTFILE="$HISTDIR/${LOGNAME}/${USER_IP}.history.$DT"
exportHISTTIMEFORMAT="[%Y.%m.%d%H:%M:%S]"
chmod600$HISTDIR/${LOGNAME}/*.history*2>/dev/null

这段代码将每一个用户的shell下令实行汗青以文件的情势保留在/usr/share/.history目次中，每一个用户一个文件夹，而且文件夹下的每一个文件以IP地点加shell下令操纵工夫的格局定名。上面是user01用户实行shell下令的汗青纪录文件，基础效果以下：
[root@serveruser01]#pwd
/usr/share/.history/user01
[root@serveruser01]#ls-al
-rw-------1user01wheel56Jul617:07192.168.12.12.history.20130706_164512
-rw-------1user01wheel43Jul617:42192.168.12.12.history.20130706_172800
-rw-------1user01wheel22Jul712:05192.168.12.19.history.20130707_111123
-rw-------1user01wheel22Jul813:41192.168.12.20.history.20130708_120053
-rw-------1user01wheel22Jul115:28192.168.12.186.history.20130701_150941
-rw-------1user01wheel22Jul219:47192.168.12.163.history.20130702_193645
-rw-------1user01wheel22Jul312:38192.168.12.19.history.20130703_120948
-rw-------1user01wheel22Jul319:14192.168.12.134.history.20130703_183150

保留汗青下令的文件夹目次要只管潜伏，制止被黑客发明后删除。
2、公道利用su、sudo下令
su下令是一个切换用户的工具，常常用于将一般用户切换到超等用户下，固然也能够从超等用户切换到一般用户。为了包管办事器的宁静，几近一切办事器都克制了超等用户间接登录体系，而是经由过程一般用户登录体系，然后再经由过程su下令切换到超等用户下，实行一些必要超等权限的事情。经由过程su下令可以给体系办理带来必定的便利，可是也存在不宁静的要素，比方体系有10个一般用户，每一个用户都必要实行一些有超等权限的操纵，就必需把超等用户的暗码交给这10个一般用户，假如这10个用户都有超等权限，经由过程超等权限能够做任何事，那末会在必定水平上对体系的宁静形成了威协。因而su下令在良多人都必要介入的体系办理中，并非最好的选择，超等用户暗码应当把握在多数人手中，此时sudo下令就派上用处了。
sudo下令同意体系***分派给一般用户一些公道的“权力”，而且不必要一般用户晓得超等用户暗码，就可以让他们实行一些只要超等用户或其他特许用户才干完成的义务，好比体系办事重启、编纂体系设置文件等，经由过程这类体例不仅能削减超等用户登录次数和办理工夫，也进步了体系宁静性。因而，sudo下令相对权限无穷制性的su来讲，仍是对照宁静的，以是sudo也被称为受限定的su，别的sudo也是必要事前举行受权认证的，以是也被称为受权认证的su。
sudo实行下令的流程是：将以后用户切换到超等用户下，或切换到指定的用户下，然后以超等用户或其指定切换到的用户身份实行下令，实行完成后，间接退回到以后用户，而这统统的完成要经由过程sudo的设置文件/etc/sudoers来举行受权。
比方，/etc/shadow文件一般用户是没法会见的：
[user01@unknown~]$more/etc/shadow
/etc/shadow:Permissiondenied

假如要让一般用户user01可会见这个文件，能够在/etc/sudoers增加以下内容：
user01ALL=/bin/more/etc/shadow
如许，经由过程以下体例user01用户便可会见/etc/shadow文件：
[user01@unknown~]$sudomore/etc/shadow
[sudo]passwordforuser01:

实行这个下令后，必要输出user01用户的暗码，然后便可会见文件内容了。在这里sudo利用工夫戳文件来完成相似“检票”的体系，当用户输出暗码后就取得了一张默许存活期为5分钟的“进场券”（默许值能够在编译的时分改动）。超时今后，用户必需从头输出暗码才干检察文件内容。
假如每次都必要输出暗码，那末某些主动挪用超等权限的步伐就会呈现成绩，此时能够经由过程上面的设置，让一般用户无需输出暗码便可实行具有超等权限的步伐。比方，要让一般用户centreon具有/etc/init.d/nagios剧本重启的权限，能够在/etc/sudoers增加以下设置：
CENTREONALL=NOPASSWD:/etc/init.d/nagiosrestart

如许，一般用户centreon就能够实行nagios重启的剧本而无需输出暗码了。假如要让一个一般用户user02具有超等用户的一切权限，而又不想输出超等用户的暗码，只需在/etc/sudoers增加以下内容便可：
user02ALL=(ALL)NOPASSWD:ALL

如许user02用户登录体系后，就能够经由过程实行以下下令切换到超等用户下：
[user02@unknown~]$sudosu-
[root@unknown~]#pwd
/root

sudo计划的主旨是：付与用户尽量少的权限但仍同意它们完成本人的事情，这类计划分身了宁静性和易用性，因而，激烈保举经由过程sudo来办理体系账号的宁静，只同意一般用户登录体系，假如这些用户必要特别的权限，就经由过程设置/etc/sudoers来完成，这也是多用户体系下账号宁静办理的基础体例。

3、删减体系登录接待信息
体系的一些接待信息或版本信息，固然能给体系办理者带来必定的便利，可是这些信息偶然候大概被黑客使用，成为打击办事器的爪牙，为了包管体系的宁静，能够修正或删除某些体系文件，必要修正或删除的文件有4个，分离是/etc/issue、/etc/issue.net、/etc/redhat-release和/etc/motd。

/etc/issue和/etc/issue.net文件都纪录了操纵体系的称号和版本号，当用户经由过程当地终端或当地假造把持台等登录体系时，/etc/issue的文件内容就会显现，当用户经由过程ssh或telnet等近程登录体系时，/etc/issue.net文件内容就会在登录后显现。在默许情形下/etc/issue.net文件的内容是不会在ssh登录后显现的，要显现这个信息能够修正/etc/ssh/sshd_config文件，在此文件中增加以下内容便可：

Banner/etc/issue.net

实在这些登录提醒很分明泄露了体系信息，为了宁静起见，倡议将此文件中的内容删除或修正。
/etc/redhat-release文件也纪录了操纵体系的称号和版本号，为了宁静起见，能够将此文件中的内容删除。
/etc/motd文件是体系的通告信息。每次用户登录后，/etc/motd文件的内容就会显现在用户的终端。经由过程这个文件体系***能够公布一些软件或硬件的晋级、体系保护等公告信息，可是此文件的最高文用就、是能够公布一些告诫信息，当黑客登录体系后，会发明这些告诫信息，进而发生一些震慑感化。看过外洋的一个报导，黑客进侵了一个办事器，而这个办事器却给出了接待登录的信息，因而法院不做任何判决。
欢迎大家来到仓酷云论坛！

作者: 分手快乐 时间: 2015-1-16 08:09
标题: 来一发CentOS体系账户和登录宁静
就这样，我们一边上OS理论课，一边上这个实验，这样挺互补的，老师讲课，一步一步地布置任务

作者: 深爱那片海 时间: 2015-1-25 21:23
Linux?最大的优点在于其作为服务器的强大功能，同时支持多种应用程序及开发工具，所以Linux操作系统有着广泛的应用空间。

作者: 小女巫 时间: 2015-2-4 13:23
在系统检测不到与Linux兼容的显卡，那么此次安装就可能不支持图形化界面安装，而只能用文本模式安装等等。

作者: 第二个灵魂 时间: 2015-2-10 00:03
虽然大家都比较喜欢漂亮的mm，但是在学 linux 的过程中，还是要多和“男人”接触一下：P 遇到问题的时候，出来看说和上网查之外，就是要多用 linux 下的 man 命令找找帮助。

作者: 乐观 时间: 2015-2-28 13:33
Linux简单，占内存少，特别是对于程序开发人员来说很方便，如果说windows的成功在于其方便用户的窗口管理界面。

作者: 莫相离 时间: 2015-3-10 06:51
直到学习Linux这门课以后，我才知道，原来我错了。?

作者: 兰色精灵 时间: 2015-3-17 09:24
Linux的成功就在于用最少的资源最短的时间实现了所有功能，这也是符合人类进化的，相信以后节能问题会日益突出。

欢迎光临仓酷云 (http://ckuyun.com/)