首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

Linux系统安全 | Linux用户、组和权限

、 getfacl Umask、Suid、Sgid、粘滞位 前言:在linux中一切都是文件(文件夹和硬件设备是特殊文件),如果有可能尽量使用文本文件。...而这2个概念引入,完美的保证了Linux安全性,同时没有添加复杂性。由于一切皆为文件。...将这三种关系叠加,用户和文件最终关系可以归纳为3类 用户拥有该文件 用户属于某个组,某个组拥有该文件(即用户通过属于某组来拥有该文件) 用户不拥有该文件 一:用户和组信息查看 在Linux,用户分为三类...在linux中,即使我们有系统管理员root权限,也不推荐用root用户登录。一般情况用普通用户登录就可以了,在需要root权限执行一些操作时,再su登录成为root用户。...当普通用户要修改自己密码时候,可以使用passwd这个指令。passwd这个指令在/bin/passwd,当我们执行这个命令后,就可以修改/etc/shadow密码了。

2.9K10
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    Linux系统安全|Linux磁盘分区卸载和磁盘配额

    目录 一:查看磁盘信息 二:Linux磁盘分区 三:Linux分区卸载 四:Linux磁盘配额 查看磁盘信息 fdisk : 这个命令是磁盘分区表操作工具,fdisk能将磁盘分区,同时也能为每个分区指定分区类型...· cat /proc/partitions : 显示已识别的所有分区 Linux磁盘分区 在windows硬盘分区很简单,有专门磁盘管理工具,还有众多第三方软件可以对硬盘进行分区,都是图形化...今天主要将是在Linux用 fdisk 这个命令来对硬盘进行分区Linux对硬盘分区大致可以分为七步。 1....这里我们输入是 +5G ,即第一块分区大小是5G。 这样,我们就已经建好了一个标准Linux格式分区类型了。...写了一个脚本实现自动分区,目前只支持分配主分区和标准linux文件系统(ext4/xfs)分区 #!

    3.5K10

    Linux系统安全 | Linux逻辑卷LVM管理和RAID磁盘阵列

    目录 LVM简介 LVM创建 LVM拉伸 LVM缩小 LVM删除 RAID磁盘阵列添加 LVM简介 LVM(Logical Volume Manager) 逻辑卷管理器,可以动态调整磁盘容量,...Linux中默认将所有逻辑卷链接到 /dev/mapper/ 目录下。.../sdb 如果报错,在确保主机其他文件系统正常情况,重启主机 05 五:RAID磁盘阵列添加 RAID(Redundant Arrays of Inexpensive Disks)容错式廉价磁盘阵列...RAID技术可以通过软件或硬件实现,将多个磁盘整合成为一个较大磁盘装置,该装置不仅有存储功能,还具有数据保护功能。RAID具有多个不同等级,每个等级对整合后磁盘实现不同功能。...cat /proc/mdstat 我们先往逻辑卷里写入900M文件,模拟生产情况数据 我们模拟其中 sdb 挂了 mdadm --manage /dev/md0 --fail /dev/sdb

    2.1K10

    Linux系统安全 | LinuxShell和Bash

    学安全我们,经常会听到说获得某服务器shell,就是指获得某个服务器操作权限。我们学习linux时,经常会遇到bash,bash也是指的是某个服务器权限。那么,这两者有什么区别和联系呢?...shell Shell 俗称壳(用来区别于核),是指“为使用者提供操作界面”软件(命令解析器)。它类似于DOScommand.com和后来cmd.exe。...它接收用户命令,然后调用相应应用程序。 我们先来看一些Linux系统结构 ? 位于最内层是硬件,然后是Linux系统内核。shell介于用户和系统内核之间。 那么shell功能是什么呢?...我们可能会问:既然shell是解释命令工具,那么这个工具可不可以多样化呢?不同解释工具可不可以遵从不同规则呢? 这是必然咯,何况是像Linux这种开源好东西,怎么会缺乏多样性呢?!.../bin/sh”,则我们使用命令:sh script_name.sh 时是调用dash去解释脚本;Debian默认使用还是bash,只不过sh指向是dash ?

    2.9K10

    Linux系统安全 | Linux性能监控、守护进程与计划任务管理

    ps命令列出是当前进程快照,就是执行ps命令这个时刻进程,与 top 不同是,ps 是静态查看进程 PID:运行着进程ID; TTY:命令所运行位置 TIME:运行着该命令所占用CPU...在linux环境,任何事物都以文件形式存在,通过文件不仅仅可以访问常规数据,还可以访问网络连接和硬件。...(hourly/daily/weekly/monthly)脚本分别每小时、每天、每周、每月执行。...编辑计划任务: crontab -e -u 用户名 此命令会在 /var/spool/cron 创建一个以用户名为文件名定时任务文件 查看计划任务: crontab -l...#每月第3天5点4分执行 4 5 3 * * command 关于Crontab定时任务设置在线网站:https://crontab.guru/# 相关文件:Linux磁盘分区、卸载和磁盘配额

    1K10

    Linux系统安全及应用

    1、账号安全 系统账号清理 1)将非登录用户shell设为/sbin/nologin 2)锁定长期不使用账号 3)删除无用账号 4)锁定账号文件passwd、shadow 锁定:chattr +I...etc/shadow 密码安全: 设置密码有效期:2种方式: 1)对新建用户设置:vim /etc/login.defs PASS_MAX_DAYS 30 2)对已创建用户...密码方式:明文:passwd密码 密文:用grub-md5-crypt生成 Vim /boot/grub/grub.conf Password -md5 密码字串 5、终端安全登录: 1)减少开放终端数...,支持des和md5加密破解 命令名为:john 破解命令:..../john --show /etc/shadow查看 7、NMAP:网络端口扫描 是一款强大网络扫描安全检测工具,可扫描TCP/UDP端口 扫描类型: -sS:SYN扫描

    1.8K50

    Linux系统安全-SELinux入门

    任何程序对其资源享有完全控制权。假设某个程序打算把含有潜在重要信息文件扔到/tmp目录下,那么在DAC情况没人能阻止他。SELinux提供了比传统UNIX权限更好访问控制。...SELinux中也有用户概念,但它和Linux中原有的user 不是同一个概念。比如,Linux超级用户 root 在SELinux中可能就是一个没权限,没地位,打打酱油"路人甲"。...安全属性 Linux中有两种东西,一种死(Inactive),一种活(Active)。活东西就是进程,而死东西就是资源(文件、套接字等)。...-t public_content_t /home/xie chcon表示运行状态修改,修改完立即生效,restorecon可以将之前修改还原。...在修复模式等特殊环境,chcon做修改会被重置还原 semanage fcontext -a -t httpd_sys_content_t '/srv/www(/.*)?'

    1.4K10

    Linux系统安全 | LinuxShell和Bash

    我们学习linux时,经常会遇到bash,bash也是指的是某个服务器权限。那么,这两者有什么区别和联系呢?...shell Shell 俗称壳(用来区别于核),是指“为使用者提供操作界面”软件(命令解析器)。它类似于DOScommand.com和后来cmd.exe。...它接收用户命令,然后调用相应应用程序。 我们先来看一些Linux系统结构 位于最内层是硬件,然后是Linux系统内核。shell介于用户和系统内核之间。 那么shell功能是什么呢?.../bin/sh”,则我们使用命令:sh script_name.sh 时是调用dash去解释脚本;Debian默认使用还是bash,只不过sh指向是dash tty 、pty 和 pts...tty就是linux里面终端意思,你每一个可以输入shell进行解析的当前框,就是终端。 pty就是虚拟终端。 pts是终端一个实例化。

    1.6K20

    Linux 系统安全与优化配置

    Linux 系统安全与优化配置 Linux 系统安全问题 ---- 目录 1. Openssh 安全配置 1.1. 禁止root用户登录 1.2. 限制SSH验证重试次数 1.3....禁止证书登陆 证书登陆非常安全,但是很有可能正常用户在你不知道情况,给你安装了一个证书,他随时都可能进入你系统 任何一个有权限用户都能很方便植入一个证书到 .ssh/authorized_keys...Linux 系统资源调配 4.1....,在linux系统中任何设备都被看做是一个文件(字符设备),你连接一个鼠标,键盘,摄像头,硬盘等等都被看作打开一个设备文件,所以默认1024是远远不够。...关闭写磁盘I/O功能 对于某些文件没必要记录文件访问时间,由其是在高并发IO密集操作环境,通过两个参数可以实现noatime,nodiratime减少不必要系统IO资源。

    2K40

    Linux系统安全设置策略

    查看新建文件或目录权限,操作举例如下: #ls -l dir; #查看目录dir权限 #cat /etc/default/login /etc/default/login不存在 (查看是否有umask027...init.d或# rpm -qi $(rpm -qf /etc/rc.d/init.d/sshd) chkconfig –level 2345 服务名称 off 9.检查补丁安全,是否在确保业务不受影响情况及时更新操作系统补丁...patch/releaseIndexPage.do 10.检查日志审计功能设置,是否配置日志审计功能 查看日志服务是否开启#service -–status-all | grep syslog 在root权限,...使用命令more、cat或vi查看 /var/log/message 系统启动后信息和错误日志,是Red Hat Linux中最常用日志之一 /var/log/secure 与安全相关日志信息 /...KeyRegenerationInterval 3600 # 在SSH-1协议,短命服务器密钥将以此指令设置时间为周期(秒),不断重新生成。这个机制可以尽量减小密钥丢失或者黑客攻击造成损失。

    2.5K10

    Linux 系统安全与优化配置

    Linux 系统安全与优化配置 Linux 系统安全问题 ---- 目录 1. Openssh 安全配置 1.1. 禁止root用户登录 1.2. 限制SSH验证重试次数 1.3....禁止证书登陆 证书登陆非常安全,但是很有可能正常用户在你不知道情况,给你安装了一个证书,他随时都可能进入你系统 任何一个有权限用户都能很方便植入一个证书到 .ssh/authorized_keys...Linux 系统资源调配 4.1....,在linux系统中任何设备都被看做是一个文件(字符设备),你连接一个鼠标,键盘,摄像头,硬盘等等都被看作打开一个设备文件,所以默认1024是远远不够。...关闭写磁盘I/O功能 对于某些文件没必要记录文件访问时间,由其是在高并发IO密集操作环境,通过两个参数可以实现noatime,nodiratime减少不必要系统IO资源。

    2.6K50

    Linux系统安全 | Linux日志分析和管理

    程序日志:由各种应用程序独立管理日志文件,格式不统一 日志管理策略 日志也并不是完全可靠,高级黑客在入侵系统后,会删除相应日志记录,因此需要做好日志管理工作: 日志备份和归档 延长日志保存期限...所以,需要对之前日志文件做一些处理。日志轮转和切割指的是实现对当前日志归档,开始新日志,删除早期日志。Linux中,日志轮转和切割这个服务是由 logrotate 提供。...不建议修改程序所对应默认设备。程序所对应设备这个不是我们所关心,是开发者已经配置好。 rsyslogd 中有不同规则,指定了不同设备不同预警级别对应不同文件。...; /var/log/httpd:http服务记录 /var/log/audit:包含被 Linux audit daemon储存信息 /var/log/dmesg:内核日志; /var/log.../cpus:CPU处理信息; /var/log/anaconda.log:在安装Linux时,所有的安装信息记录 /var/log/syslog:事件记录监控程序日志; /var/log/auth.log

    8K10

    Linux 系统安全与优化配置

    Linux 系统安全与优化配置 目录 1. Openssh 安全配置 1.1. 禁止root用户登录 1.2. 限制SSH验证重试次数 1.3. 禁止证书登陆 1.4....禁止证书登陆 证书登陆非常安全,但是很有可能正常用户在你不知道情况,给你安装了一个证书,他随时都可能进入你系统 任何一个有权限用户都能很方便植入一个证书到 .ssh/authorized_keys...Linux 系统资源调配 4.1....,在linux系统中任何设备都被看做是一个文件(字符设备),你连接一个鼠标,键盘,摄像头,硬盘等等都被看作打开一个设备文件,所以默认1024是远远不够。...关闭写磁盘I/O功能 对于某些文件没必要记录文件访问时间,由其是在高并发IO密集操作环境,通过两个参数可以实现noatime,nodiratime减少不必要系统IO资源。

    2.4K50

    Linux系统安全基础知识

    基本系统安全 物理安全和登录安全 禁用root登录和sudo 可插拔认证模块(PAM) 基于PAM口令安全和口令策略 基于PAM访问控制 1、基本系统安全 安全磁盘布局 使用挂装选项提高文件系统安全性...: # find / - xdev \( -perm -4000 -o -perm-2000 \) - ls 2)查找指定目录/dir所有用户可写设置了粘着位(sticky-bit)目录...3:多人使用者模式文字界面,具有网络档案系统(NFS)功能 4:某些发行版linux使用此等级进入x windows system 5:某些发行版linux使用此等级进入x windows system...锁定当前屏幕: vlock 锁定所有已登录终端会话并禁止虚拟控制台切换: vlock -a 七、为BASH设置超时自动注销帐号 自动注销帐号登录,在Linux系统中root账户是具有最高特权...经过以上设置,你Linux服务器已经可以对绝大多数已知安全问题和网络攻击具有免疫能力,但一名优秀系统管理员仍然要时刻注意网络安全动态,随时对已经暴露出和潜在安全漏洞进行修补。

    2.6K10

    Linux系统安全 | Linux中.bash_文件讲解

    bash_history 该文件保存了当前用户输入过历史命令 history命令:读取历史命令文件中目录到历史命令缓冲区和将历史命令缓冲区中目录写入命令文件。...历史命令是被保存在内存中,当退出或者登录shell时,会自动保存或读取。在内存中,历史命令仅能够存储1000条历史命令,该数量是由 /etc/profile 中 HISTSIZE 变量进行控制。...默认是不显示命令执行时间,命令执行时间history 已经记录,只是没有显示。...history命令显示是 /~/.bash_history文件中命令和当前shell输入缓存中命令。 也就是说,/~/.bash_history文件记录命令是上一次登录及其之前命令。...登陆linux启动bash时首先会去读取~/.bash_profile文件,这样~/.bashrc也就得到执行了,你个性化设置也就生效了。

    1.6K20

    Linux系统安全 | Linux系统登录相关

    tty指的是主机图形化界面的面板 pts/x指的是远程ssh连接窗口 who -b:主机上一次启动时间 w:显示已经登陆系统用户列表,并显示用户正在执行指令。...users:显示当前登录系统所有用户用户列表。...last:查看最近登录成功用户及信息,该命令是读取是 /var/log/wtmp 文件 第1列是登录成功用户名,第2列是pts终端,第3列是登录ip,第4列是时间日期(包括登录时间到退出时间,still...lastb:查看最近登录失败用户及信息,该命令是读取是 /var/log/btmp 文件 第1列是登录失败用户名,第2列ssh:notty说明登录失败,第3列是登录ip,第4列是时间日期 如下.../var/log/secure 一般用来记录安全相关信息,记录最多是哪些用户登录服务器相关日志,如果该文件很大,说明有人在破解你 root 密码 这个是 /var/log/secure 里登录日志

    5K20

    Linux系统安全配置iptables服务介绍

    Linux系统安全配置Iptables服务 Linux防火墙介绍 Linux系统防火墙功能是由内核实现,从2.4版本之后内核中,包过滤机制是netfilter,管理工具是iptables netfilter...位于系统内核中包过滤防火墙功能体系,被称为Linux防火墙“内核态” iptables 位于/sbin/iptables,是用来管理防火墙命令工具,被称为linux防火墙“用户态” iptables...表与链介绍 链是防火墙规则或策略集合,对于数据包进行过滤或处理,要把处理机制不同,将各种规则放入不同“链”中 默认5种链如下: INPUT:处理入站数据包 OUTPUT:处理出站数据包 FORWARD...:处理转发数据包 POSTROUTING:在进行路由选择后处理数据包 PREROUTING:在进行路由选择前处理数据包 表是规则链集合,具有某一类相似作用规则,按不同机制到不同链之后,再被收入到不同表中...表与链结构如下 ?

    82210

    Linux系统安全及应用示例

    授权用户zhngsan管理所有员工账号,但禁止其修改root用户信息。 授权用户lisi能够执行/sbin、/usr/sbin目录下所有特权命令,不需要密码验证。...使用grub-md5-crypt命令获取加密密码字符串,然后进入/boot/grub/grub.conf在第一个title行之前添加密码配置 ? ?...2、安装john软件,检测本机弱口令。 解压进入后并编译 ? 编译后会在run目录下生成john程序,准备待破解密码文件,然后执行 ? 3、安装NMAP软件,扫描网络上tcp和udp端口。...两台linux计算机,配置ip为192.168.1.0网段。(分别时1.10和1.20)一台安装NMAP扫描软件,另外一台安装ftp和http服务,并启动服务。 先扫描一本机开放那些端口。

    1.3K40
    领券