Linux基礎第十章:系統安全及應用
目錄
一、賬戶安全措施
1、賬戶管理
賬戶鎖定:passwd -l 或usermod -L
賬戶解鎖:passwd -u 或usermod -U
賬戶刪除:userdel -r(並刪除家目錄)
設定賬戶無法登入:建立(useradd)或修改(usermod)賬戶時加 -s /sbin/nologin,如下。
2、鎖定配置檔案
某些特定檔案比較重要防止誤刪除新增鎖定檔案
命令:chattr +i 檔名 鎖定檔案任何使用者不能刪除
chattr -i 檔名 解鎖檔案有許可權使用者可以刪除
lsattr 檔名 檢視檔案是否有特殊許可權
3、清除歷史記錄
檢視歷史輸入命令:history
history記錄存放檔案:~/.bash_history
臨時清空:history -c
永久清空:echo " ">~/.bash_history,然後history -c清空快取的記錄,如下圖。
二、sudo
1、sudo概念及優點
概念:sudo即superuser do可翻譯為以超級管理員身份做,是可以讓普通使用者在不知道root密碼的情況下執行一些或全部的root命令工具。
優點:不需要指定超級管理員密碼、可以指定那些組或那些賬戶可以執行那些特定的命令、提供了豐富的日誌,詳細記錄了每個使用者幹了什麼
2、使用sudo
配置sudo檔案:/etc/sudoers直接編輯sudo檔案更改完成後必須visudo -c檢查語法
官方推薦配置sudo:visudo 等價於修改sudo的配置檔案,但是此命令會自動檢查語法是否正確
配置語法介紹(可使用萬用字元):
root ALL=(ALL) ALL
使用者或組(組前需加%) 登入主機(可寫網段)=以什麼身份執行(可不寫) 執行那些命令(命令的絕對路徑)
3、sudo實操演示
①visudo命令進入後找到root樣式行,在下方按格式填寫一個允許lisi使用者使用cat命令檢視/etc/shadow檔案
②切換lisi使用者嘗試檢視/etc/shadow檔案,提示許可權不足。
③使用sudo 命令檢視/etc/shadow檔案,可以正常檢視。
4、設定sudo別名
設定sudo別名可以實現同時設定多個使用者或多個組、多個主機、多個命令之間用逗號隔開,便於管理員管理sudo。
別名型別:User_Alias(使用者)、Runas_Alias(代表使用者、Host_Alias(登入主機)、Cmnd_Alias(命令)
別名格式:設定的別名必須是大寫字母和數字組成且數字不能在開頭
別名配置:visudo或直接編輯/etc/sudoers配置檔案,注意定義完成別名後必須進行呼叫否則不生效,且呼叫格式固定,如下。
5、sudo特別注意
①使用sudo在配置時可以使用萬用字元,但是需要注意一個小bug,例如允許lisi使用cat命令檢視/var/log/目錄下以m開頭的檔案,此時若在後面直接加上一些其他檔案沒有許可權的檔案則也可以同時開啟。如下圖
②visudo和/etc/sudoers檔案中都有一條預設的允許root使用者使用所有命令的規則,但是linux 系統中root使用者不一定是超級管理員,若uid等於0的賬戶是lisi而有一個名為root的普通使用者,那麼此使用者也擁有超級管理員的所有命令執行許可權。