2018-12-03 10:33:47 Mr_Chenjie_C 阅读数 192
  • Linux系列之走进Linux新世界

    本课程为全新马哥Linux全套系列课程之一--Linux基础入门和架构了解,从Linux起源,Linux架构和Linux形成历史开始逐步讲解,让你彻彻底底了解Linux的诞生,之后介绍了Linux相关文化和核心组成结构,以及Linux常用命令和基本用法,课程由浅入深,讲授方法受到98%学员一致好评!

    20506 人正在学习 去看看 马永亮

Linux的默认管理员名即是root,只需要知道ROOT密码即可直接登录SSH。禁止Root从SSH直接登录可以提高服务器安全性

不允许root直接登陆

1、修改相关文件

vim /etc/ssh/sshd_config

SSH执行以上命令,修改sshd_config文件

2、禁止root登陆

查找Port 2333 后面的数字代表端口号
查找“#PermitRootLogin yes”,将前面的“#”去掉,短尾“Yes”改为“No”,并保存文件。

3、重启sshd服务生效。

service sshd restart
2019-05-11 21:36:16 YLREHC 阅读数 141
  • Linux系列之走进Linux新世界

    本课程为全新马哥Linux全套系列课程之一--Linux基础入门和架构了解,从Linux起源,Linux架构和Linux形成历史开始逐步讲解,让你彻彻底底了解Linux的诞生,之后介绍了Linux相关文化和核心组成结构,以及Linux常用命令和基本用法,课程由浅入深,讲授方法受到98%学员一致好评!

    20506 人正在学习 去看看 马永亮

 

在我们运维工作中,会经常要求一些用户不允许登陆系统,以加固系统安全。今天这里介绍下锁定账号登陆的几种方法:

一、最常用方式,修改用户的shell类型为/sbin/nologin  (推荐使用)
这种方式会更加人性化一点,因为不仅可以禁止用户登录,还可以在禁用登陆时给提示告诉它这么做的原因。
修改/etc/nologin.txt,没有的话就手动新建一个,在里面添加给被禁止用户的提示(这种方式的所有用户的锁定信息都在这个文件中,在登陆时给与提示)。

如下,禁用wangshibo账号登陆系统:
[root@host-192-168-1-117 ~]# useradd wangshibo
[root@host-192-168-1-117 ~]# echo "123456"|passwd --stdin wangshibo
Changing password for user wangshibo.
passwd: all authentication tokens updated successfully.
[root@host-192-168-1-117 ~]# cat /etc/passwd|grep wangshibo     //或者使用shell类型修改命令"usermod -s /sbin/nologin wangshibo" 
wangshibo:x:500:500::/home/wangshibo:/bin/bash
[root@host-192-168-1-117 ~]# sed -i 's#/home/wangshibo:/bin/bash#/home/wangshibo:/sbin/nologin#g' /etc/passwd
[root@host-192-168-1-117 ~]# cat /etc/passwd|grep wangshibo
wangshibo:x:500:500::/home/wangshibo:/sbin/nologin

[root@host-192-168-1-117 ~]# touch /etc/nologin.txt
[root@host-192-168-1-117 ~]# cat /etc/nologin.txt
In order to protect the system security, this type of user is locked!

现在尝试用wangshibo账号登陆系统,就会被拒绝,并给出提示信息:
[ops@host-192-168-1-117 ~]$ su - wangshibo
Password: 
In order to protect the system security, this type of user is locked!
[ops@host-192-168-1-117 ~]$

解禁用户登陆就是把shell改为它原有的就可以了
[root@host-192-168-1-117 ~]# cat /etc/passwd|grep wangshibo
wangshibo:x:500:500::/home/wangshibo:/sbin/nologin
[root@host-192-168-1-117 ~]# sed -i 's#/home/wangshibo:/sbin/nologin#/home/wangshibo:/bin/bash#g' /etc/passwd
[root@host-192-168-1-117 ~]# cat /etc/passwd|grep wangshibo
wangshibo:x:500:500::/home/wangshibo:/bin/bash

[root@host-192-168-1-117 ~]# su - ops
[ops@host-192-168-1-117 ~]$ su - wangshibo
Password: 
[wangshibo@host-192-168-1-117 ~]$

---------------------------------------------------------------------------------------
可以使用usermod命令修改用户的shell类型,加-s参数,如
[root@host-192-168-1-117 ~]# cat /etc/passwd|grep wangshibo
wangshibo:x:500:500::/home/wangshibo:/bin/bash
[root@host-192-168-1-117 ~]# usermod wangshibo -s /sbin/nologin 
[root@host-192-168-1-117 ~]# cat /etc/passwd|grep wangshibo
wangshibo:x:500:500::/home/wangshibo:/sbin/nologin

另外注意下一个小细节:
这一种方法,无论是从root用户,还是从其他用户,都不能ssh登陆或su切换到锁定账号下
---------------------------------------------------------------------------------------

二、禁止所有的用户登录(手动创建/etc/nologin文件)
如果不想让除root用户之外的其他所有用户登录系统(比如在系统维护情况下),如果按照上面的几种方式,就需要一个一个地去禁止用户登录,这就是一种很傻X的工作方式,效率也很低!

下面介绍一种简洁有效的设置方式:
只需要在/etc目录下建立一个nologin文档,那么Linux上的所有用户(除了root以外)都无法登录!!
[root@host-192-168-1-117 ~]# touch /etc/nologin

在/etc/nologin(注意:这可不是第一种方式中的nologin.txt)文件里面可以自定义一些内容,告诉用户为何无法登录。
[root@host-192-168-1-117 ~]# cat /etc/nologin
抱歉,系统维护中,暂时禁止登陆!

这样,就会发现除root之外的其他用户统统无法登陆系统了。
[root@linux-node2 ~]# ssh root@192.168.1.117
抱歉,系统维护中,暂时禁止登陆!
[root@host-192-168-1-117 ~]#

[root@linux-node2 ~]# ssh wangshibo@192.168.1.117
wangshibo@192.168.1.117's password: 
抱歉,系统维护中,暂时禁止登陆!
Connection closed by 192.168.1.117
[root@linux-node2 ~]# ssh ops@192.168.1.117
ops@192.168.1.117's password: 
抱歉,系统维护中,暂时禁止登陆!
Connection closed by 192.168.1.117

注意一点:
这种方法设置后,只是禁止了从外部ssh登陆本机时有效!但是在本机上,无论是从root用户还是其他普通用户使用su命令切换到锁定用户下都不受影响。
[root@host-192-168-1-117 ~]# su - ops
[ops@host-192-168-1-117 ~]$ su - wangshibo
Password: 
[wangshibo@host-192-168-1-117 ~]$

解禁帐号也简单,直接将/etc/nologin删除就行了!
[root@host-192-168-1-117 ~]# rm -f /etc/nologin
[root@host-192-168-1-117 ~]# ll /etc/nologin
ls: cannot access /etc/nologin: No such file or directory

[root@linux-node2 ~]# ssh wangshibo@192.168.1.117
wangshibo@192.168.1.117's password: 
[wangshibo@host-192-168-1-117 ~]$

以上几种锁定账号的设置完成后,在远程使用ssh命令都将无法登陆系统!

2018-09-19 14:33:27 yangzongzhuan 阅读数 1258
  • Linux系列之走进Linux新世界

    本课程为全新马哥Linux全套系列课程之一--Linux基础入门和架构了解,从Linux起源,Linux架构和Linux形成历史开始逐步讲解,让你彻彻底底了解Linux的诞生,之后介绍了Linux相关文化和核心组成结构,以及Linux常用命令和基本用法,课程由浅入深,讲授方法受到98%学员一致好评!

    20506 人正在学习 去看看 马永亮

不允许root直接登陆

1、修改相关文件
vi /etc/ssh/sshd_config
SSH执行以上命令,修改sshd_config文件


2、禁止root登陆
查找“#PermitRootLogin yes”,将前面的“#”去掉,短尾“Yes”改为“No”,并保存文件。

四、下次登陆

1、先使用新建账号“xxxxx”以普通用户登陆。
2、若要获得ROOT权限,在SSH中执行以下命令
su root
执行以上命令并输入root密码后即可获得root权限。

2019-12-27 11:00:02 weixin_41176080 阅读数 7
  • Linux系列之走进Linux新世界

    本课程为全新马哥Linux全套系列课程之一--Linux基础入门和架构了解,从Linux起源,Linux架构和Linux形成历史开始逐步讲解,让你彻彻底底了解Linux的诞生,之后介绍了Linux相关文化和核心组成结构,以及Linux常用命令和基本用法,课程由浅入深,讲授方法受到98%学员一致好评!

    20506 人正在学习 去看看 马永亮

1案例1:Linux基本防护措施

1.1问题

本案例要求练习Linux系统基本防护措施,完成以下任务:

  1. 修改用户zhangsan的账号属性,设置为2019-12-31日失效(禁止登陆)
  2. 临时锁定用户lisi账户,使其无法登陆,验证效果后解除锁定
  3. 修改tty终端提示,使得登陆前看到的第一行文本为“Windows Server 2012 Enterprise R2”,第二行文本为“NT 6.2 Hybrid”
  4. 锁定文件/etc/resolv.conf、/etc/hosts,防止其内容被无意中修改

1.2步骤

实现此案例需要按照如下步骤进行

步骤一:修改用户zhangsan的账户属性,设置为2019-12-31日失效(禁止登录)

1)正常情况下,未过期的账号可以正常登陆,使用change可以修改账户有效期

chage命令的语法格式:
chage –l    账户名称                                //查看账户信息
chage –E 时间 账户名称                            //修改账户有效期

2)失效的用户无法登录

使用chage命令将用户zhangsan的账户设为当前已失效(比如已经过去的某个时间):

[root@proxy ~]# useradd zhangsan
[root@proxy ~]# chage -E 2015-05-15 zhangsan

尝试以用户zhangsan重新登录,输入正确的用户名、密码后直接闪退,返回登录也,说明账号已失效

3)重设用户zhangsan的属性,将失效时间设置为2019-12-31

[root@proxy ~]# chage -E 2019-12-31 zhangsan              //修改失效日期
[root@proxy ~]# chage -l zhangsan                        //查看账户年龄信息
Last password change                     : May 15, 2017
Password expires                       : never
Password inactive                       : never
Account expires                          : Dec 31, 2019
Minimum number of days between password change          : 0
Maximum number of days between password change           : 99999
Number of days of warning before password expires         : 7

4)定义默认有效期(扩展知识)

/etc/login.defs这个配置文件,决定了账户密码的默认有效期

[root@proxy ~]# cat /etc/login.defs
PASS_MAX_DAYS    99999                        //密码最长有效期
PASS_MIN_DAYS    0                            //密码最短有效期
PASS_MIN_LEN    5                            //密码最短长度
PASS_WARN_AGE    7                            //密码过期前几天提示警告信息
UID_MIN                  1000                //UID最小值
UID_MAX                  60000                //UID最大值

步骤二:临时锁定用户zhangsan的账户,使其无法登录,验证效果后解除锁定

1)锁定用户账号

使用passwd或useradd命令将用户zhangsan账户锁定

[root@proxy ~]# passwd -l zhangsan                       //锁定用户账号lock
锁定用户 zhangsan 的密码。
passwd: 操作成功
[root@proxy ~]# passwd -S zhangsan                      //查看状态status
zhangsan LK 2018-02-22 0 99999 7 -1 (密码已被锁定。)

2)验证用户zhangsan已无法登录,说明锁定生效

输入正确的用户名、密码、始终提示“Login incorrect”,无法登录

3)解除对用户zhangsan的锁定

[root@proxy ~]# passwd -u zhangsan                       //解锁用户账号
解锁用户 zhangsan 的密码 。
passwd: 操作成功
[root@proxy ~]# passwd -S zhangsan                      //查看状态
zhangsan PS 2018-08-14 0 99999 7 -1 (密码已设置,使用 SHA512 加密。)

步骤三:修改tty登录的提示信息,隐藏系统版本

1)账户登录Linux系统时,默认会显示登录信息(包括操作系统内核信息)

/etc/issue这个配置文件里保存的就是这些登录信息,修改该文件防止内核信息泄露

[root@proxy ~]# cat /etc/issue                              //确认原始文件
Red Hat Enterprise Linux Server release 6.5 (Santiago)
Kernel \r on an \m
[root@proxy ~]# cp /etc/issue /etc/issue.origin              //备份文件
[root@proxy ~]# vim /etc/issue                              //修改文件内容
Windows Server 2012 Enterprise R2
NT 6.2 Hybrid

2)测试版本的伪装效果

退出已登录的tty终端,或者重启Linux系统,刷新后的终端提示信息会变成自定义的文本内容,如图所示

附加:对于操作系统来说,文件系统也可以通过添加额外属性来提高性能与安全性

[root@proxy ~]# cat /etc/fstab
/dev/vda1   /boot    xfs   defaults,noexec   0  0
/dev/vda3   /home    xfs   defaults,noatime  0  0
备注:
noexec属性可以让分区下的所有程序都不可执行,包括病毒与木马
noatime让分区下的所有文件都不再更新atime时间,atime时间为文件的访问时间

步骤四:锁定文件/etc/reolv.conf、/etc/hosts

1)语法格式

# chattr +i  文件名                    //锁定文件(无法修改、删除等)
# chattr -i  文件名                    //解锁文件
# chattr +a  文件名                    //锁定后文件仅可追加
# chattr -a  文件名                    //解锁文件
# lsattr 文件名                        //查看文件特殊属性

2) 使用+i锁定文件,使用lsattr查看属性

[root@proxy ~]# chattr +i /etc/resolv.conf 
[root@proxy ~]# lsattr /etc/resolv.conf 
----i---------- /etc/resolv.conf

3)使用+a锁定文件(仅可追加),使用lsattr查看属性

[root@proxy ~]# chattr +a /etc/hosts
[root@proxy ~]# lsattr /etc/hosts
-----a---------- /etc/hosts

4)测试文件锁定效果

[root@proxy ~]# rm -rf /etc/resolv.conf
rm: 无法删除"/etc/resolv.conf": 不允许的操作
[root@proxy ~]# echo xyz > /etc/resolv.conf
-bash: resolv.conf: 权限不够
[root@proxy ~]# rm -rf  /etc/hosts                         //失败
[root@proxy ~]# echo "192.168.4.1  xyz" > /etc/hosts     //失败
[root@proxy ~]# echo "192.168.4.1  xyz" >> /etc/hosts    //成功

5)恢复这两个文件原有的属性(避免对后续实验造成影响)

root@proxy ~]# chattr -i /etc/resolv.conf 
[root@proxy ~]# chattr -a /etc/hosts
[root@proxy ~]# lsattr /etc/resolv.conf /etc/hosts
--------------- /etc/resolv.conf
--------------- /etc/hosts

 

 

 

 

 

 

 

 

 

 

 

 

2019-08-06 13:51:37 qq_27786919 阅读数 46
  • Linux系列之走进Linux新世界

    本课程为全新马哥Linux全套系列课程之一--Linux基础入门和架构了解,从Linux起源,Linux架构和Linux形成历史开始逐步讲解,让你彻彻底底了解Linux的诞生,之后介绍了Linux相关文化和核心组成结构,以及Linux常用命令和基本用法,课程由浅入深,讲授方法受到98%学员一致好评!

    20506 人正在学习 去看看 马永亮

1输入命令 

vi etc/passwd
将       git:x:1001:1001:,,,:/home/git:/bin/bash
改为:git:x:1001:1001:,,,:/home/git:/usr/bin/git-shell

 

没有更多推荐了,返回首页