• Liunx中系统安全及文件系统(极其粗糙版)


    系统安全:

    系统安全和数据防护,数据备份的资质

    比如三台服务器

    500万

    工信部是有要求的,组织必须保证处理的个人数据的安全性

    品牌形象如何维护呢

    基于liunx的安全加固措施:

    权限进行控制

    账号安全:
    账号管理:

    将非登录用户设置为nologin

    cat /etc/password

    usermod -S /sbin/nologin dn

    /bin/bash 可以登录系统

    /sbin/nologin禁止用户登录

    锁定长期不使用的账号:

    usermod -L 用户名 #锁定账号

    usermod -U 用户名 #解锁密码

    passwd -l 用户名 #锁定密码

    passwd -u 用户名 #解锁密码

    usermod -S 账号名 #查看是否锁定账号

    这两种方式root用户切换不受影响,切换会root用户也可以,但是从普通用户切换会被禁止、

    删除无用的账号:

    userdel -r 用户名

    -r:删除用户的同时一并删除用户的家目录

    锁定重要的文件,禁止修改

    chattr +i 文件路径 #锁定文件

    (不只是可以锁定账号文件,普通文件也可以;但锁定/etc/passwd就无法新增或更改或删除用户;锁定/etc/shadow就无法对账号的密码进行更改;锁定/etc/group就无法进行组的相关操作;/etc/fatab 自动挂载的文件)

    /etc/passwd

    /etc/shabow #用户密码都在shadow

    /etc/fatab #自动挂载的文件

    chattr -i 文件路径 #解锁被锁定的文件文件

    lsattr 文件路径 #查看此文件是否被锁定

    进程的重要配置文件:

    nginx.conf

    密码控制:

    设置密码的有效期,或者要求用户下次登录的时候修改密码

    设置新用户的默认密码自动过期时间: vi /etc/login.defs 修改配置项:PASS_MAX_DAYS 30(这个数字时间是自定义)

    修改老用户的默认密码自动过期时间: chage -M 天数 账号

    设置用户在第 N 天登录后必须修改密码: chage -d N 账号

    命令历史与自动注销:

    /etc/profile #linux系统全局配置文件,

    history 查看历史命令(系统默认保存1000条),但有可能泄露密码登,可以在/etc/profile中配置HISTSIZE=100来将行数缩减到100行;也可以修改~/.bash_logout文件,在其中 history -C clear 指定在用户登出时清空历史记录

    更改文件后source /etc/profile对修改文件立刻生效无需重启

    export HISTSIZE =200 #最近200条历史命令

    自动退出登录,可以设置超时时间,当超过一定时间,终端没有任何输入,则自动退出登录

    vi ~/.bash_profile export TMOUT=600 #超时时间设置为十分钟

    可以用unset TMOUT 来取消超时设置

    vi /etc/profile

    TMOUT=6

    限制su命令切换用户:

    普通用户登录只能在自己的登录环境使用,无法切换到其他用户

    cd /etc/pam.d/

    su

    pam模块

    wheel组

    wheel组:是一个页数的组,加入了wheel组之后,可以和root用户使用管理员的命令,需要配合sudo

    把一些特殊需要的账号加入wheel组,让他们可以使用管理员的命令,方便操作

    wheel组默认为空,需要管理员手动添加

    配置wheel组权限,注意权限最小化,仅设置用户需要的使用的命令即可,任务所需的最小权限

    sudo授权:

    /etc/sudoers 进行配置权限

    这个文件默认的权限是400

    保存时,必须wq!

    bin 是所有用户可以用的

    sbin是只有管理员用户可以用的

    关键字控制用户,普通用户可以使用哪些管理员,但是做出一定的限制,

    Host_Alias MYHOSTS = test1

    #设置主机名

    User_Alias MYUSERS = dn

    #限制的用户名

    Cmnd_Alias MYCMNDS = /sbin*,!/sbin/reboot,!/sbin/poweroff,!/sbin/init,!/usr/bin/rm

    MYUSERS MYHOSTS=MYCMNDS

    面试题

    系统安全加固的措施:

    1.将非登录用户的shell设置为nologin

    2.锁定账号

    usermod -L 锁定账号

    passwd -l 锁定密码

    3.删除无用的账号

    4.chattr +i 锁定重要文件 /etc/passwd /etc/shadow /etc/fstab

    5.设置密码,密码设置复杂一些

    6.修改历史命令的记录

    7.禁止用户切换

    wheel组,可以和root一样执行管理员命令sudo权限最小化

    8.给grub菜单设置密码

    第一步:按e键查看未设置之前的状态

    重启之后按e,查看配置,不建议修改

    第二步:设置GRUB密码并重启

    grub2-setpassword

    9.设置sudo的权限

    10.改掉一些大家都知道的服务端口号 ssh 22 http 80 mysql 3306

    读取文件也是按照一个块一个块读取文件

    文件数据:包括实际数据和元信息(文件的属性,权限)

    数据保存在块

    元信息:文件的创建者,创建日期,文件的大小,文件权限。保存在inode号中

    inode 号 ls -i

    特点:只要创建文件,系统就会分配一个inode号,inode号在同一目录下是不重复的,回收之后的inode号可以继续使用

    操作系统是根据inode号来识别不同的文件

    打开文件时,系统就开始根据inode号来进行操作,inode号也要占用空间,但是很小

    只有判断出用户具有对文件的操作权限之后,才会指向文件锁在的块,进行操作

    一个文件必须要有一个inode号,而且至少占用一个块

    如果inode号耗尽了,即使磁盘还有空间,也无法继续

    文件备份与恢复

    备份:xfsdump

    恢复:xfsrestore

    备份级别:0表示完全备份,1-9表示增量备份

    默认备份级别是0

    工作中也是全量备份

    备份的命令格式:

    -f:指定备份文件的路径和文件名

    /dev/sdb3指定备份的设备

    xfsdump的使用条件:

    1.只能备份已经挂载的分区

    2.只能使用root权限才可以操作

    3.只能备份xfs文件系统

    4.备份数据只能通过xfsrestore来进行解析,恢复

    备份的文件,只能是一个文件,最后是一个不存在的文件,不能是一个目录,而且不能是一个已经有内容的文件

    -f:从那个文件恢复

    /data3:恢复到哪个目录,都要一一对应的

    http://t.csdnimg.cn/7xPTd

    http://t.csdnimg.cn/F8tny

    这有些知识点可以结合这个链接一起看,但是已此篇为主

  • 相关阅读:
    MFC Windows 程序设计[261]之选项文档例程(附源码)
    java多线程 -- volatile 关键字 内存 可见性
    java源码-工程讲解
    Jtti:新加坡云服务器怎么部署javaweb
    磁选机是什么?
    1 秒完成授权,Authing 全新上线一键登录功能
    Mysql——存储引擎
    【社媒营销】Facebook速推帖子如何运作?值得吗?
    剑指 Offer 35. 复杂链表的复制
    图解设计模式:身份认证场景的应用
  • 原文地址:https://blog.csdn.net/m0_75000405/article/details/133838636