Liunx中系统安全及文件系统(极其粗糙版)
PS:下面知识点还很粗糙下次有时间再改
系统安全:
系统安全和数据防护,数据备份的资质
比如三台服务器:
500万
工信部是有要求的,组织必须保证处理的个人数据的安全性
品牌形象如何维护呢
基于liunx的安全加固措施:
权限进行控制
账号安全:
账号管理:
将非登录用户设置为nologin
cat /etc/password
usermod -S /sbin/nologin dn
/bin/bash 可以登录系统
/sbin/nologin禁止用户登录
锁定长期不使用的账号:
usermod -L 用户名 #锁定账号
usermod -U 用户名 #解锁密码
passwd -l 用户名 #锁定密码
passwd -u 用户名 #解锁密码
usermod -S 账号名 #查看是否锁定账号
这两种方式root用户切换不受影响,切换会root用户也可以,但是从普通用户切换会被禁止、
删除无用的账号:
userdel -r 用户名
-r:删除用户的同时一并删除用户的家目录
锁定重要的文件,禁止修改
chattr +i 文件路径 #锁定文件
(不只是可以锁定账号文件,普通文件也可以;但锁定/etc/passwd就无法新增或更改或删除用户;锁定/etc/shadow就无法对账号的密码进行更改;锁定/etc/group就无法进行组的相关操作;/etc/fatab 自动挂载的文件)
/etc/passwd
/etc/shabow #用户密码都在shadow
/etc/fatab #自动挂载的文件
chattr -i 文件路径 #解锁被锁定的文件文件
lsattr 文件路径 #查看此文件是否被锁定
进程的重要配置文件:
nginx.conf
密码控制:
设置密码的有效期,或者要求用户下次登录的时候修改密码
设置新用户的默认密码自动过期时间: vi /etc/login.defs 修改配置项:PASS_MAX_DAYS 30(这个数字时间是自定义)
修改老用户的默认密码自动过期时间: chage -M 天数 账号
设置用户在第 N 天登录后必须修改密码: chage -d N 账号
命令历史与自动注销:
/etc/profile #linux系统全局配置文件,
history 查看历史命令(系统默认保存1000条),但有可能泄露密码登,可以在/etc/profile中配置HISTSIZE=100来将行数缩减到100行;也可以修改~/.bash_logout文件,在其中 history -C clear 指定在用户登出时清空历史记录
更改文件后source /etc/profile对修改文件立刻生效无需重启
export HISTSIZE =200 #最近200条历史命令
自动退出登录,可以设置超时时间,当超过一定时间,终端没有任何输入,则自动退出登录
vi ~/.bash_profile export TMOUT=600 #超时时间设置为十分钟
可以用unset TMOUT 来取消超时设置
vi /etc/profile
TMOUT=6
限制su命令切换用户:
普通用户登录只能在自己的登录环境使用,无法切换到其他用户
cd /etc/pam.d/
su
pam模块
wheel组
wheel组:是一个页数的组,加入了wheel组之后,可以和root用户使用管理员的命令,需要配合sudo
把一些特殊需要的账号加入wheel组,让他们可以使用管理员的命令,方便操作
wheel组默认为空,需要管理员手动添加
配置wheel组权限,注意权限最小化,仅设置用户需要的使用的命令即可,任务所需的最小权限
sudo授权:
/etc/sudoers 进行配置权限
这个文件默认的权限是400
保存时,必须wq!
bin 是所有用户可以用的
sbin是只有管理员用户可以用的
关键字控制用户,普通用户可以使用哪些管理员,但是做出一定的限制,
Host_Alias MYHOSTS = test1
#设置主机名
User_Alias MYUSERS = dn
#限制的用户名
Cmnd_Alias MYCMNDS = /sbin*,!/sbin/reboot,!/sbin/poweroff,!/sbin/init,!/usr/bin/rm
MYUSERS MYHOSTS=MYCMNDS
面试题
系统安全加固的措施:
1.将非登录用户的shell设置为nologin
2.锁定账号
usermod -L 锁定账号
passwd -l 锁定密码
3.删除无用的账号
4.chattr +i 锁定重要文件 /etc/passwd /etc/shadow /etc/fstab
5.设置密码,密码设置复杂一些
6.修改历史命令的记录
7.禁止用户切换
wheel组,可以和root一样执行管理员命令sudo权限最小化
8.给grub菜单设置密码
第一步:按e键查看未设置之前的状态
重启之后按e,查看配置,不建议修改
第二步:设置GRUB密码并重启
grub2-setpassword
9.设置sudo的权限
10.改掉一些大家都知道的服务端口号 ssh 22 http 80 mysql 3306
读取文件也是按照一个块一个块读取文件
文件数据:包括实际数据和元信息(文件的属性,权限)
数据保存在块
元信息:文件的创建者,创建日期,文件的大小,文件权限。保存在inode号中
inode 号 ls -i
特点:只要创建文件,系统就会分配一个inode号,inode号在同一目录下是不重复的,回收之后的inode号可以继续使用
操作系统是根据inode号来识别不同的文件
打开文件时,系统就开始根据inode号来进行操作,inode号也要占用空间,但是很小
只有判断出用户具有对文件的操作权限之后,才会指向文件锁在的块,进行操作
一个文件必须要有一个inode号,而且至少占用一个块
如果inode号耗尽了,即使磁盘还有空间,也无法继续
文件备份与恢复
备份:xfsdump
恢复:xfsrestore
备份级别:0表示完全备份,1-9表示增量备份
默认备份级别是0
工作中也是全量备份
备份的命令格式:
-f:指定备份文件的路径和文件名
/dev/sdb3指定备份的设备
xfsdump的使用条件:
1.只能备份已经挂载的分区
2.只能使用root权限才可以操作
3.只能备份xfs文件系统
4.备份数据只能通过xfsrestore来进行解析,恢复
备份的文件,只能是一个文件,最后是一个不存在的文件,不能是一个目录,而且不能是一个已经有内容的文件
-f:从那个文件恢复
/data3:恢复到哪个目录,都要一一对应的
这有些知识点可以结合这个链接一起看,但是已此篇为主