集团主站
欢迎来到成都达内官方网站!达内—美国上市公司 亿元级外企IT培训企业!
成都it培训哪家好
成都it培训哪家好
全国服务监督电话:15023458194  |   联系客服   |
当前位置:主页 > 培训课程 > Linux >

成都运维工程师:安全运维之账户安全与服务

发布者: 成都达内     浏览次数:     发布时间:2019-12-18 11:26:45

账户安全是系统安全的第一道防线,通过删除不必要的用户以及对登录进行加密与限制,可以避免因权限泄露与中间人攻击导致的安全隐患。成都运维工程师:删除不必要的用户!...

  账户安全是系统安全的第一道防线,通过删除不必要的用户以及对登录进行加密与限制,可以避免因权限泄露与中间人攻击导致的安全隐患。

  成都运维工程师:删除不必要的用户

  在linux系统安装过程中,系统会建立一些不必要的用户与用户组,这些用户与用户组会成为黑客攻击的目标,删除它们可以有利于系统的安全。

  Linux中可以删除的默认用户有:

  adm:伪用户,不可登录,拥有账户文件

  lp:伪用户,不可登录,lp或lpd子系统使用

  sync

  shutdown

  halt

  news

  uucp:伪用户,不可登录,uucp使用

  operator

  games

  gopher

  Linux中可以删除的默认用户组有:

  adm

  lp

  news

  uucp

  games

  dip

  pppusers

  popusers

  slipusers

  通过sudo限制su的滥用

  成都运维工程师:安全运维之账户安全与服务

  出于系统安全的目的,一般服务器都会限制root用户的直接登录,而是通过普通用户登录系统,然后从普通用户切换至root用户。但允许太多普通用户使用su切换至root用户会提高密码泄露的风险。因此在需要多人管理的服务器系统中,使用su不是一个很好的选择,root用户密码应当只被掌握在少数管理员的手中。

  使用sudo可以给普通用户分配一些root用户的权限,而且也不需要普通用户知晓root用户的密码。

  sudo的运行过程如下:

  将当前用户切换至root用户或指定的用户下

  以root用户或指定用户的身份执行命令

  执行完毕,直接退回普通用户

  sudo可以通过配置文件/etc/sudoers来进行授权

  例如普通用户user01无法访问/etc/shadow文件,

  则可以在/etc/sudoers文件中添加如下一行来为普通用户授权:

  user01 ALL = /bin/more /etc/shadow

  这样,user01用户就可以通过more命令访问/etc/shadow文件。

  当用户执行了sudo more/etc/shadow命令后,需要输入user01的密码,然后在后面三分钟内,都可以在不用输入密码的情况下访问文件了。

  但一些程序会无法通过输入密码的方式来正确执行,我们就需要给普通用户添加一个无需凭证的权限。

  例如,让普通用户user01具有/etc/init.d/nagios脚本重启的权限,可以在/etc/sudoers文件中添加如下一行来为普通用户授权:

  user01 ALL = NOPASSWD: /etc/init.d/nagios restart

  关闭不必要的服务

  在安装完成后,Linux绑定了很多不必要的服务,这些服务都默认自动启动的,关闭它们可以提高系统的安全性。

  但关闭哪些服务,要根据服务器的用途而定,例如某台用于WWW的应用,那么除了httpd外和系统的必要服务外都可以关闭。

  成都运维工程师:以下服务如果不会被用到,可以关闭:

  anacron:用于定期检测服务器在关机状态下没有执行的定时任务,并在特定的时间执行它们

  auditd:用于审计,负责把内核产生的信息写入到磁盘,用于记录与系统内核有关的活动与操作。

  autofs:用于自动挂载服务,与写入fstab文件不同,它不会开机就挂载文件系统,而是当用户访问时才挂载服务。

  svhi-dacmon

  biuetooth:用于蓝牙,一般服务器也不会用这个功能吧。

  cpuspeed:用于动态调整CPU速度,除非用户使用的是基于笔记本的Linux系统,否则应当关闭它。

  firstboot:Fedora特有,用于安装之后第一次启动时仅需要执行一次的特定任务。

  gpm:用于在无图形界面的鼠标支持。

  haldaemon:Fedora特有,用于自动挂载鼠标键盘以及USB设备。

  hidd:对输入设备提供蓝牙支持。

  ip6tables:用于ipv6防火墙。

  ipsec:用于搭建VPN服务。

  isdn:用于使用isdn猫上网。

  lpd:打印机守护程序。

  mcstrans:用于SELinux,如果你使用SELinux,那么应当开启它。

  netfs:用于在系统启动时自动挂载网络中的共享文件空间,比如:NFS,Samba 等。

  nfs:用于 Unix/Linux/BSD 系列操作系统的标准文件共享方式,如果你用到这种方式,那么保持它开启。

  nfslock:用于 Unix/Linux/BSD 系列操作系统的标准文件共享方式,如果你用到这种方式,那么保持它开启。

  nscd:用于为NIS和LDAP等服务提供更快的验证。

  pcscd:用于提供智能卡和智能卡读卡器支持。

  成都运维工程师:安全运维之账户安全与服务

  portmap: NFS和 NIS的补充。

  readahead_early:通过预先加载特定的应用程序到内存中以提供性能,让程序启动更快。

  restorecond:用于给SELinux监测和重新加载正确的文件上下文(file contexts),如果你使用SELinux的话强烈建议开启它。

  rpcgssd:用于NFSv4,除非你需要或使用NFSv4,否则关闭它

  rpcidmapd:用于NFSv4,除非你需要或使用NFSv4,否则关闭它

  rstatd:用于获取系统的资源使用情况,常用于监控服务。

  sendmaill:用于发送邮件。

  setroubleshoot:用于SELinux,用于读取内核日志。

  yppasswdd:用于NIS服务。

  ypserv:用于NIS服务。

(责任编辑:范老师)
最新开班
  • 成都Java培训班
    免费试听名额发放中...
  • 成都C++培训班
    免费试听名额发放中...
  • 成都PHP培训班
    免费试听名额发放中...
  • 成都网络工程培训班
    免费试听名额发放中...
  • 成都Unity3D培训班
    免费试听名额发放中...
  • 成都大数据培训班
    免费试听名额发放中...
  • 成都uid培训班
    免费试听名额发放中...
  • 成都会计培训班
    免费试听名额发放中...
  • 成都Python培训班
    免费试听名额发放中...
  • 成都嵌入式培训班
    免费试听名额发放中...
  • 成都web培训班
    免费试听名额发放中...
  • 成都软件测试培训班
    免费试听名额发放中...
在线留言
提交

校区地址:成都市锦江区东大街紫东楼端35号明宇金融广场19楼1906室

联系电话:15023458194

公交路线:芷泉街(18路;21路;43路;48路;104路;152路;335路 ) 地铁路线:东门大桥站(地铁2号线)

校区地址:成都市高新区奥克斯广场蜀锦路209号一楼商铺

联系电话:15023458194

公交路线:益州大道锦城大道口(18路;21路;43路;48路;104路;152路;335路 ) 地铁路线:孵化园(地铁1号线)

校区地址:成都锦江区东大街芷泉街229号东方广场C座3楼303

联系电话:15023458194

公交路线:芷泉街(188路;115路;515路;236路;505路;501路;84路 ) 地铁路线:东门大桥站(地铁2号线)

校区地址:成都市武侯区佳灵路3号红牌楼广场2号写字楼11楼1115号

联系电话:15023458194

公交路线:红牌楼东(11路;92路;100路;111路;139路;g28路;快速公交K1/K2) 地铁路线:红牌楼站(地铁3号线)

校区地址:成都市锦江区红星路二段70号四川日报大厦502-2

联系电话:15023458194

公交路线:市二医院站(6路;49路;102路;5路;37路;g92路;) 地铁路线:地铁市二医院(地铁3号线)

校区地址:成都市锦江区东大街芷泉段229号东方广场C座16层

联系电话:15023458194

公交路线:芷泉街(18路;21路;43路;48路;104路;152路;335路 ) 地铁路线:东门大桥站(地铁2号线)

校区地址:四川省成都市武侯区高新科技孵化园9号园区E座7楼

联系电话:15023458194

公交路线:益州大道锦城大道口(18路;21路;43路;48路;104路;152路;335路 ) 地铁路线:孵化园(地铁1号线)

校区地址:成都市高新区奥克斯广场B座1708

联系电话:15023458194

公交路线:益州大道锦城大道口(18路;21路;43路;48路;104路;152路;335路 ) 地铁路线:孵化园(地铁1号线)

了解达内动态
关注成都达内教育公众号

首页 | 关于达内 | 课程中心 | 专家师资 | 视频教程 | 学员空间 | 校企合作 | 新闻资讯 | 就业指导 | 网站地图

2016-2025 达内时代科技集团有限公司 版权所有 京ICP证8000853号-56