Liunx中系统安全及文件系统(极其粗糙版)

PS:下面知识点还很粗糙下次有时间再改

系统安全:

系统安全和数据防护,数据备份的资质

比如三台服务器:

500万

工信部是有要求的,组织必须保证处理的个人数据的安全性

品牌形象如何维护呢

基于liunx的安全加固措施:

权限进行控制

账号安全:
账号管理:

将非登录用户设置为nologin

cat /etc/password

usermod -S /sbin/nologin dn

/bin/bash 可以登录系统

/sbin/nologin禁止用户登录

锁定长期不使用的账号:

usermod -L 用户名 #锁定账号

usermod -U 用户名 #解锁密码

passwd -l 用户名 #锁定密码

passwd -u 用户名 #解锁密码

usermod -S 账号名 #查看是否锁定账号

这两种方式root用户切换不受影响,切换会root用户也可以,但是从普通用户切换会被禁止、

删除无用的账号:

userdel -r 用户名

-r:删除用户的同时一并删除用户的家目录

锁定重要的文件,禁止修改

chattr +i 文件路径 #锁定文件

(不只是可以锁定账号文件,普通文件也可以;但锁定/etc/passwd就无法新增或更改或删除用户;锁定/etc/shadow就无法对账号的密码进行更改;锁定/etc/group就无法进行组的相关操作;/etc/fatab 自动挂载的文件)

/etc/passwd

/etc/shabow #用户密码都在shadow

/etc/fatab #自动挂载的文件

chattr -i 文件路径 #解锁被锁定的文件文件

lsattr 文件路径 #查看此文件是否被锁定

进程的重要配置文件:

nginx.conf

密码控制:

设置密码的有效期,或者要求用户下次登录的时候修改密码

设置新用户的默认密码自动过期时间: vi /etc/login.defs 修改配置项:PASS_MAX_DAYS 30(这个数字时间是自定义)

修改老用户的默认密码自动过期时间: chage -M 天数 账号

设置用户在第 N 天登录后必须修改密码: chage -d N 账号

命令历史与自动注销:

/etc/profile #linux系统全局配置文件,

history 查看历史命令(系统默认保存1000条),但有可能泄露密码登,可以在/etc/profile中配置HISTSIZE=100来将行数缩减到100行;也可以修改~/.bash_logout文件,在其中 history -C clear 指定在用户登出时清空历史记录

更改文件后source /etc/profile对修改文件立刻生效无需重启

export HISTSIZE =200 #最近200条历史命令

自动退出登录,可以设置超时时间,当超过一定时间,终端没有任何输入,则自动退出登录

vi ~/.bash_profile export TMOUT=600 #超时时间设置为十分钟

可以用unset TMOUT 来取消超时设置

vi /etc/profile

TMOUT=6

限制su命令切换用户:

普通用户登录只能在自己的登录环境使用,无法切换到其他用户

cd /etc/pam.d/

su

pam模块

wheel组

wheel组:是一个页数的组,加入了wheel组之后,可以和root用户使用管理员的命令,需要配合sudo

把一些特殊需要的账号加入wheel组,让他们可以使用管理员的命令,方便操作

wheel组默认为空,需要管理员手动添加

配置wheel组权限,注意权限最小化,仅设置用户需要的使用的命令即可,任务所需的最小权限

sudo授权:

/etc/sudoers 进行配置权限

这个文件默认的权限是400

保存时,必须wq!

bin 是所有用户可以用的

sbin是只有管理员用户可以用的

关键字控制用户,普通用户可以使用哪些管理员,但是做出一定的限制,

Host_Alias MYHOSTS = test1

#设置主机名

User_Alias MYUSERS = dn

#限制的用户名

Cmnd_Alias MYCMNDS = /sbin*,!/sbin/reboot,!/sbin/poweroff,!/sbin/init,!/usr/bin/rm

MYUSERS MYHOSTS=MYCMNDS

面试题

系统安全加固的措施:

1.将非登录用户的shell设置为nologin

2.锁定账号

usermod -L 锁定账号

passwd -l 锁定密码

3.删除无用的账号

4.chattr +i 锁定重要文件 /etc/passwd /etc/shadow /etc/fstab

5.设置密码,密码设置复杂一些

6.修改历史命令的记录

7.禁止用户切换

wheel组,可以和root一样执行管理员命令sudo权限最小化

8.给grub菜单设置密码

第一步:按e键查看未设置之前的状态

重启之后按e,查看配置,不建议修改

第二步:设置GRUB密码并重启

grub2-setpassword

9.设置sudo的权限

10.改掉一些大家都知道的服务端口号 ssh 22 http 80 mysql 3306

读取文件也是按照一个块一个块读取文件

文件数据:包括实际数据和元信息(文件的属性,权限)

数据保存在块

元信息:文件的创建者,创建日期,文件的大小,文件权限。保存在inode号中

inode 号 ls -i

特点:只要创建文件,系统就会分配一个inode号,inode号在同一目录下是不重复的,回收之后的inode号可以继续使用

操作系统是根据inode号来识别不同的文件

打开文件时,系统就开始根据inode号来进行操作,inode号也要占用空间,但是很小

只有判断出用户具有对文件的操作权限之后,才会指向文件锁在的块,进行操作

一个文件必须要有一个inode号,而且至少占用一个块

如果inode号耗尽了,即使磁盘还有空间,也无法继续

文件备份与恢复

备份:xfsdump

恢复:xfsrestore

备份级别:0表示完全备份,1-9表示增量备份

默认备份级别是0

工作中也是全量备份

备份的命令格式:

-f:指定备份文件的路径和文件名

/dev/sdb3指定备份的设备

xfsdump的使用条件:

1.只能备份已经挂载的分区

2.只能使用root权限才可以操作

3.只能备份xfs文件系统

4.备份数据只能通过xfsrestore来进行解析,恢复

备份的文件,只能是一个文件,最后是一个不存在的文件,不能是一个目录,而且不能是一个已经有内容的文件

-f:从那个文件恢复

/data3:恢复到哪个目录,都要一一对应的

http://t.csdnimg.cn/7xPTd

http://t.csdnimg.cn/F8tny

这有些知识点可以结合这个链接一起看,但是已此篇为主