Linux帐号和登录安全
2019独角兽企业重金招聘Python工程师标准>>>
安全是IT行业一个老生常谈的话题了,最近的“棱镜门”时间映射出了很多安全问题,处理好信息安全问题已变得刻不容缓。因此一名运维人员,必须了解一些安全运维准则,同时,要保护自己所负责的业务,首先要站在攻击者的角度思考问题,才能修补任何潜在的威胁和漏洞。
帐号安全是系统安全的第一道屏障,也是系统安全的核心,保证登录帐号的安全,在一定程度上可以提高服务器的安全级别,
一、删除特殊的用户和用户组
Linux提供了各种不通角色的系统帐号,在系统安装完成后,默认会安装很多不必要的用户和用户组,如果不需要某些用户或用户组,应立即删除它们,因为帐号越多,系统就越不安全,从而很可能被黑客利用,威胁服务器的安全。
Linux系统中可以删除的默认用户和用户组大致如下:
- cat /etc/passwd(查看所有用户)
- 可删除的用户:adm、lp、sync、shutdown、halt、news、uucp、operator、games、gopher
- cat /etc/group(查看所有用户组)
- 可删除的用户组:adm、lp、news、uucp、games、dip、pppusers、popusers、slipusers
删除的方法很简单,下面举例说明删除系统不必要的用户使用如下命令:
[root@iZm5e1zj4mlgc24i43avl0Z ~]# userdel adm
[root@iZm5e1zj4mlgc24i43avl0Z ~]# userdel lp
[root@iZm5e1zj4mlgc24i43avl0Z ~]# userdel sync
.......
删除系统不必要的用户组使用如下命令:
[root@iZm5e1zj4mlgc24i43avl0Z ~]# groupdel games
[root@iZm5e1zj4mlgc24i43avl0Z ~]# groupdel dip
[root@iZm5e1zj4mlgc24i43avl0Z ~]# groupdel pppusers
.......
有些时间,某些用户仅仅用作进程调用或者用户组调用,并不需要登录功能,此时可以禁止这些用户登录系统的躬耕,例如要禁止nagios用户的登录功能,可以执行如下命令:
[root@iZm5e1zj4mlgc24i43avl0Z ~]# usermod -s /sbin/nologin nagios
其实要删除那些用户和用户组,并没有固定要求,可以根据服务器的用途来决定,如果服务器是用于web应用的,那么系统默认的apache用户和用户组就无需删除;而如果服务器是用于数据库应用的,那么建议删除系统默认的apache用户和用户组。
二、密码安全策略
在Linux下,远程登录系统有两种认证方式:密码认证和密钥认证。密码认证方式是传统的安全策略,对于密码的设置,比较普通的说话是:至少6个字符以上,密码要包含数字、字母、下划线、特殊符号等。
密钥认证是一种新型的认证方式,公用密钥存储在远程服务器上,专用密钥保存在本地,当需要登录系统時,通过本地专用密钥和远程服务器的公钥进行配对认证,如果认证成功,就可以成功登录系统。这种方式避免了密钥认证的方式进入系统。因此,在Linux下推荐用密钥认证方式登录系统,这样就可以抛弃密码认证登录系统的弊端。
接下来详细描述通过密钥认证方式远程登录Linux服务器的实现方法。这里的环境是Centos7、OpenSSH6.6、Xshell,操作如下:
#ssh-keygen -t rsa
执行上面命令后会在家(/home/当前用户,root用户会在/root下创建)位置下创建.ssh文件并且生成两个文件。
-rw-------. 1 xxxxx xxxxx 176 8月 1 02:52 id_rsa
-rw-r--r--. 1 xxxxx xxxxx 409 8月 1 02:52 id_rsa.pub
讲id_rsa.pub名称修改为authorized_keys
cat id_rsa.pub >> authorized_keys
修改文件权限
chmod 700 .ssh
chmod 600 authorized_keys
修改OpenSSH配置文件
vim /etc/ssh/sshd_config
#禁用root账户登录,非必要,但为了安全性,请配置
PermitRootLogin no# 是否让 sshd 去检查用户家目录或相关档案的权限数据,
# 这是为了担心使用者将某些重要档案的权限设错,可能会导致一些问题所致。
# 例如使用者的 ~.ssh/ 权限设错时,某些特殊情况下会不许用户登入
StrictModes no# 是否允许用户自行使用成对的密钥系统进行登入行为,仅针对 version 2。
# 至于自制的公钥数据就放置于用户家目录下的 .ssh/authorized_keys 内
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys#有了证书登录了,就禁用密码登录吧,安全要紧
PasswordAuthentication no
保存退出,并且重启OpenSSH
systemctl restart sshd.service
把刚生成两个文件中的id_rsa拷贝到客户端,进行登录
在生成密钥的时候输入的什么密码,这里的密码就输入什么,登录后就可以通过su root来对root进行切换了。
在安装的过程遇到过很多坑,什么该用户未注册、拒绝登录。其实归根结底就是你配置文件的错误。密钥生成有很多种,也可以通过Xshell进行生成密钥,然后将生成后的公钥传到linux上。
在此不过多介绍,留心的可以去亲自感受下这个过程。
三、防火墙
防火墙的知识够用就可以,这里把一些常用的命令粘贴过来,供大家参考
systemctl stop firewalld
systemctl mask firewalldyum -y install iptables-servicessystemctl enable iptablessystemctl start iptablesiptables -F INPUT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPTservice iptables savesystemctl restart iptables.service
转载于:https://my.oschina.net/u/3452909/blog/2052720
Linux帐号和登录安全相关推荐
- mysql 同一帐号多次登录_freeradius2.1.3 防止用户帐号重复登录
freeradius2.1.3 防止用户帐号重复登录 一.修改 etc/raddb/sites-enabled 目录中的default 及inner-tunnel 这两个文件中的 # Session ...
- java异地登录验证_同一帐号异地登录
在此之前也看了很多同一帐号异地登录的,有的是采用后登录者必须等待前登录者释放后才可以登录,我的项目中要用到想qq那样可以踢出,我具体的做法如下: LoginServelt.java 做登录使用 Onl ...
- java异地登录 怎么解决_同一帐号异地登录
在此之前也看了很多同一帐号异地登录的,有的是采用后登录者必须等待前登录者释放后才可以登录,我的项目中要用到想qq那样可以踢出,我具体的做法如下: LoginServelt.java 做登录使用 Onl ...
- linux 帐号 配置sftp_Linux 下sftp配置之密钥方式登录详解
Linux下sftp配置之密钥方式登录 由于vsftp采用明文传输,用户名密码可通过抓包得到,为了安全性,需使用sftp,锁定目录且不允许sftp用户登到服务器.由于sftp使用的是ssh协议,需保证 ...
- Linux—帐号和权限管理
帐号和权限管理 管理用户和组账号 a)用户和组账号的概述 1.用户账号: 超级用户:只有当进行系统管理.维护任务时,才建议使用root登录 普通用户:由root用户或其他程序员创建,在用户自己的宿主目 ...
- 利用Cache防止同一帐号重复登录
需求概要 对于B/S应用系统中客户经常会提出同一帐号不能重复登录的需求,就是说,用某一帐号登录系统后,在系统不超时的情况下,任何人都不能再用目前已登录的帐号登录系统.包括我目前的项目中同样有这一需 ...
- 淘宝网nbsp;E客服帐号nbsp;登录阿里旺旺时nbsp;…
刚刚开通E客服的帐号,我们等10分钟以后,再登录阿里旺旺就会正常了.如果开通E客服功能已经比较久了,而登录阿里旺旺还是提示只能登录到指定服务器,一般是由于网络原因,E客服登帐号服务器地址不正确引 ...
- 如何设置Luminati Proxy Manager? Luminati+VMlogin=多个( Facebook, Google, 亚马逊,ebay)等帐号同时登录,批量管理且不被关联。
VMlogin防关联超级浏览器,一台电脑即可实现同时多开,批量注册管理多个帐号 .稳定快速,无卡顿,100%安全隔离,canvas指纹保护,防泄漏,操作简单方便.适用于亚马逊,Facebook,Goo ...
- IE浏览器InPrivate模式助阵,实现单系统两帐号同时登录
作为开发者,常常需要使用多个帐号登录某个系统进行测试.今天在做一个工作流的创建的时候,需要以多个用户登录到系统中进行操作.频繁切换帐号和输入密码十分麻烦,打开多个窗口也是无济于事的,因为后者登录的帐号 ...
最新文章
- 集成学习+ensemble learning
- 北京超前布局通用人工智能 我国首个超大规模智能模型系统发布
- boost::mp11::mp_insert_c相关用法的测试程序
- 【剑指offer】面试题43:n个骰子的点数
- mysql to char 用法_postgresql 中的to_char()常用操作
- HYSBZ - 2243染色——树链剖分+线段树建树技巧
- 【数据库系统】SQL视图与表的区别和联系
- mysql线程挣用问题_MySQL 并发线程的理解
- oracle数据库基础知识总结,oracle数据库基础知识学习笔记
- python怎么制作简单图_Python简单的制作图片验证码实例
- IoC容器4——依赖
- 数字通信原理笔记(一)---概述
- GBase数据库-时间函数
- 试题库管理系统--数据库设计
- 开发技巧 | Python极简实现滑动平均滤波(基于Numpy.convolve)
- echarts柱状图加上数量
- android pad课件制作软件,平板电脑可以做ppt吗
- Linux计划任务篇
- FileReader类
- 工业元宇宙 三人行系列直播 12场规划
热门文章
- 总结三种方法使用Service实现在后台播放音乐、暂停音乐、停止音乐的功能
- 函数的引用透明性(referential transparency)
- arcgis 出图背景_ArcGIS入门教程来袭,零基础的同学快看过来!
- 对公共交通app用户推荐理财产品有哪些营销策略?
- python魔法方法长文详解
- python TypeError: Descriptors cannot not be created directly错误解决
- el-table设置表头样式,在table行间加入
- 揭秘:“苏宁拼购基地”落地全国的原因
- 实战:浪潮服务器安装凝思 6.0.8 版本操作系统
- 推荐一个Windows工具箱-云图工具箱