本文共 2644 字，大约阅读时间需要 8 分钟。

Linux系统安全控制与应急处理指南

作为系统管理员，对于Linux系统安全控制是一个不可忽视的重要环节。本文将详细介绍如何合理设置账户权限、配置安全策略、以及应对突发情况时的应急处理方法。

一、账户安全控制

账户安全是防止未经授权访问系统的重要防线。在Linux系统中，用户和组的权限管理可以通过多种方式来实现。以下是常用的账户安全控制措施：

1. 禁止用户登录系统

有时需要完全禁止某个用户登录系统。可以通过设置用户的-shell，禁止其以 shellspawn启动终端来实现。

usermod -s /sbin/nologin test

2. 锁定用户

为提高系统安全性，可以锁定用户账户，防止未经授权的登录。

passwd -l test

3. 查看锁定状态

查看锁定状态时，可以使用以下命令确认用户的锁定状态。

passwd -S test

4. 解锁用户

当需要解锁用户时，可以通过以下命令撤销锁定状态。

passwd -u test

5. 锁定账户密码文件

为了防止密码文件被篡解，可以设置只读权限锁定密码文件。

chattr +i /etc/passwd /etc/shadow

6. 查看文件状态

查看锁定状态时，可以通过以下命令确认文件属性。

lsattr /etc/passwd /etc/shadow

7. 解锁账户密码文件

当需要解除锁定时，可以通过以下命令恢复密码文件的可写性。

chattr -i /etc/passwd /etc/shadow

8. 设置bob密码10天后过期

为了增强用户密码安全性，可以为bob账户设置10天的密码过期时间。

chage -M 10 bob

9. 设置bob用户下次登录时修改密码

可以强制让bob用户下次登录时修改密码，以确保密码安全性。

chage -d 0 bob

10. 修改登录配置文件设置密码有效期

通过修改login.defs文件，可以调整系统密码有效期。

vim /etc/login.defs

11. 修改配置文件设置历史纪录

为了限制记录的历史目录访问，可以修改bash配置文件。

vim .bash_profileexport HISTSIZE=10

12. 退出登录后自动清空历史记录

可以配置bash_logout文件，使得退出登录后自动清空命令历史记录。

vim .bash_logoutsource .bash_logout

13. 限制记录历史

通过修改etc/profile文件，可以限制bash命令的历史记录大小。

vim /etc/profileHISTSIZE=10

14. 设置长时间不操作终端自动注销

为了防止长时间空闲的终端可能存在的安全隐患，可以配置终端自动注销。

vim .bash_profile

二、su和sudo

su和sudo是Linux系统中常用的权限管理工具。

1. 切换账户，不修改宿主目录

使用su命令切换到另一个用户，而不改变宿主目录。

su bob

2. 切换到普通用户宿主目录

如果需要切换宿主目录，可以使用-su选项。

su - bob

3. 切换到管理员账户宿主目录

切换到管理员账户root时，需要提供管理员密码。

su -

4. 限制指定用户使用su命令切换账户

为了限制其他用户使用su命令切换账户，可以将指定用户添加到wheel组中，并配置PAM验证。

gpasswd -a bob wheel

查看PAM配置文件：

vim /etc/pam.d/su

5. sudo提权（bob可以重新启动）

为了让bob账户拥有sudo权限，可以配置sudoers文件。

vim /etc/sudoers

6. 查看授权信息

以bob用户查看sudo权限。

sudo -l

三、Linux系统开关机安全控制

系统开关机时的安全措施也需注意。

1. 禁用计算机强制被重启

可以禁止系统在无法登录时自动重启。

systemctl mask ctrl-alt-del.targetsystemctl daemon-reload

2. 设置grub引导菜单密码

为了确保系统引导时的安全性，可以为grub引导菜单设置密码。

grub2-mkpasswd-pbkdf2

3. 备份引导菜单

백업重要系统文件.

cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.bakcp /etc/grub.d/00_header /etc/grub.d/00_header.bak

4. 修改grub引导菜单

通过vim修改00_header文件。

vim /etc/grub.d/00_header

5. 重新生成引导菜单

生成并保存修改后的配置文件。

grub2-mkconfig -o /boot/grub2/grub.cfg

6. 限制终端登录

默认终端登录只能通过cdcxA或vt framebuffer登录。

vim /etc/securetty

四、JR弱口令检测

通过JR工具进行弱口令检测。

1. 切换Linux光盘安装JR

安装JR前，复制并解密shadow文件。

tar zxvf /mnt/john-1.8.0.tar.gz -C /usr/srccd /usr/src/john-1.8.0/srcmake clean linux-x86-64

2. 修改用户为弱口令

设置tom账户密码为简单密码123。

passwd tom

3. 复制密码配置文件

保存shadow文件。

cp /etc/shadow ./

4. 破解密码配置文件

使用JR工具破解shadow文件。

/usr/src/john-1.8.0/run/john /root/1.txt

五、安装并使用namp扫金额工具

为安全扫描网络中的漏洞，安装并使用namp工具。

1. 安装namp

通过Yum安装nmap。

yum install -y nmap

2. 扫描类型

了解常用扫描类型及其适用场景。

3. 扫描主机开放协议和端口

进行全面的网络扫描。

nmap 192.168.100.10

4. 扫描指定端口号

扫描特定端口号。

nmap -p 22 192.168.100.10

5. 扫描网段

扫描整个网段中的主机。

nmap 192.168.100.*

以上就是Linux系统安全控制与应急处理的详细指南，希望对您有所收获。

转载地址：http://ujemz.baihongyu.com/