本文共 1638 字,大约阅读时间需要 5 分钟。
ssh 端口转发 ssh服务器各种配置 sudo ,aide检查文件是否完整性,tcp_wrapper 授权某用户访问messge文件,但是不能访问/etc/passwd
5版本是加message.1 message.2不是时间,日志的滚动, 前面的格式是允许的,但是不允许后面message 后面空格跟文件,就避免了用户可以看etc/passwd 成功组织看/etc/passwd 定义了那些程序登录的是必须用的shell类型要在/etc/shells里,否则不能正常登录 二进制模块 /lib64/security 要用这些二进制文件就需要用配置文件 /etc/pasm.d 每个文件基本对应每个应用程序 这里面的每个文件都有横着4项,竖着 4列 第一列 :类型 常见的有四种类型,auth实名验证,account账户(验证当前账户有效, password 负责口令更改,session (会话管理)分别对账户不同阶段做管理 第二列 放控制信息 验证阶段会有多次验证,每个过程是一票否决,还是一票肯定,逻辑上如何判断 第三列,模块名 就是看到的 /lib64/security的文件名 第四列 这些模块有的参数 7上启用telnet服务 拿root账号是不允许登录的 查看日志 错误明确显示,root账号不允许登录(pam_security这个模块造成的 看一下官方文档说明 root只能在安全的tty登录,只有这个里面文件里的tty才是安全的 没有ptsy的终端,加入PTS终端 成功登录 login登录,remote 远程 再次删除原来添加的终端 root又不能用telnet登录,这次我们修改PAM 注释删除,pam(remote和login) vim login 模块把登录设置也删除掉 就可以绕过登录的设置了 除非确认局域网绝对安全,否则不要取消登陆验证 禁止普通用户登录就建立的nologin文件 nologin可以阻止用户登录系统,当/etc/nologin存在的时候,此文件的内容将显示给用户,不仅会拒绝用户,还会给被拒绝的用户显示拒绝信息 创建/etc/nologin文件 把信息写进去 有提示 vim login 修改文件 不用nologin,改用自己的文件 网用户又可以登录 再把/etc/nologin文件复制到/data下,王用户又不可以登录 注释掉就又不受影响 创建/etc/nologin 模块是立即生效,所以错误操作,容易造成自己也登不上 可以用来限制用户使用的资源,limits 查看哪些文件调用limits 模块包含互相调用 raise超过, 设置hard,用户不能超过设定的值 soft在前面设置的情况下,用户能调大调小(在一定范围内) -代表不分hard soft一块设置了 item(项目)代表各种资源 core核心文件大小, data数据文件最大多少 nofile 最大打开文件数量 memlock内存锁 vsz虚拟内存,操作系统承诺给人 rss 真实使用的内存 ulimit命令也可以限定资源,unlimit,非限定 限制某个用户使用的进程 访问网络,会打开很多socket文件 打开web服务 top查看cpu信息 -c并发访问打开10个,会生成10 socket文件 -n总的访问数 最大打开文件1024 设定打开2000就会报错,文件太多 修改限定 就不会报错了 这个调整是临时性的,退出就没了, ulimit不是什么都能调整的,存得住就需要改文件 wang账号 hard强制的 nproc 最大打开进程数5个 查看wang用户运行的进程有几个 开满5个就不能再继续了 限定用户最大并发登录数的 多次su 登录不上 有些设定的值偏小,就需要做调整 有些物理服务器配置高,设置小容易浪费资源, 内部命令依赖于bashshell 只能在bashshell里使用 时间控制需要用到 ftp;链接数据库就需要链接第三方开发的模块转载地址:http://azkgn.baihongyu.com/