一、信息安全防护的目标

保密性,Confidentiality

完整性,Integrity

可用性,Usability

可控制性,Controlability

不可否认性,Non-repudiation

二、安全防护环节

物理安全:各种设备/主机、机房环境

系统安全:主机或设备的操作系统

应用安全:各种网络服务、应用程序

网络安全:对网络访问的控制、防火墙规则

数据安全:信息的备份与恢复、加密解密

管理安全:各种保障性的规范、流程、方法

三、LINUX系统加固

1、阻止普通用户关机

wKiom1YNRiyAESWjAADsRL14Aj4251.jpg

测试

wKioL1YNRxXCxCW7AAFs83sooGw290.jpg

2、设置fanlj用户密码各个时间:

查看默认fanlj账户的时间信息

wKiom1YNR7CSQt-FAAGVzGwLZsc958.jpg

指定fanlj账户的时间信息,-m 指定密码修改的最短时间,-M指定密码修改的最长时间,-W指定密码过期前警告的天数,-I指定密码过期后锁定账户的天数,-E密码的有效期。

wKioL1YNSXnSDrZtAAIc9zU4ZbI283.jpg

3、设置fanlj下一次登陆必须改密码,注销用户。

wKiom1YNUVfQ6ecSAABKJBNbORo987.jpg

wKiom1YNUdWwxK41AABD5fYhjJA224.jpg

wKioL1YNUjTDzmSGAAGUjeMFhqI990.jpg

4、帐号锁定操作,-l 为锁定用户账号,-S 查看用户账号的状态,-u解锁用户账户

wKioL1YNUwXwolSUAAFG08N5NDY903.jpg

wKiom1YNVOyzPOpGAAKebyYte2U367.jpg

usermod,-L为锁定用户账户,-U解锁用户账户

wKioL1YNVDWT06QHAABvd_MLr38811.jpg

wKiom1YNVJDys5bsAAIwungnS-g890.jpg

5.新建一个新的用户,时间信息需要自己定义,密码的最长修改时间设置为90天,最小修改时间为0天,长度为5位,警告时间为6天,以及UID和GID的设置。

wKioL1YORqzSdwPDAABEisSxbII308.jpgwKiom1YORqbw_6hYAAEe4uS_lO4336.jpg

新建一个bob用户查看是否按照以上测试

wKiom1YOR6SyS5qSAAKWlTe0baA814.jpg

6、设置最大历史命令条目数

wKiom1YOSPvB5UnzAABD0QWNouA993.jpg

wKiom1YOSQTSA0J3AADzJFip8UQ989.jpg

7.1)分别以rootbob用户执行 ls /root有什么结果;改变ls的权限 chmod  4755  /bin/ls,再用bob执行ls /root有什么结果?为什么

wKiom1YOSbSh9zeIAAE2Y0FWuKo130.jpg

wKiom1YOSgWwV5vtAAEeWRANZVo788.jpg

chmod是Linux下设置文件权限的命令,后面的数字表示不同用户或用户组的权限。

一般是三个数字:
第一个数字表示文件所有者的权限
第二个数字表示与文件所有者同属一个用户组的其他用户的权限
第三个数字表示其它用户组的权限。

权限分为三种:读(r=4),写(w=2),执行(x=1)。综合起来还有可读可执行(rx=5=4+1)、可读可写(rw=6=4+2)、可读可写可执行(rwx=7=4+2+1)。

所以,chmod 755 设置用户的权限为:

1.文件所有者可读可写可执行
2.与文件所有者同属一个用户组的其他用户可读可执行
3.其它用户组可读可执行

chmod 4755与chmod 755 的区别在于开头多了一位,这个4表示其他用户执行文件时,具有与所有者相当的权限。

2)执行chmod  4755  /bin/touch后,bob创建一个文件,查看文件的属主是谁,为什么会有这样的结果?

wKioL1YOU-zxQoKfAAD6gOAgCxg187.jpg


8/etc/fstab中的defaults是挂载选项,它包含哪些选项。如果把一个目录挂载为只读文件系统?

auto: 系统自动挂载,fstab默认就是这个选项
defaults: rw, suid, dev, exec, auto, nouser, and async.
noauto 开机不自动挂载
nouser 只有超级用户可以挂载
ro 按只读权限挂载
rw 按可读可写权限挂载
user 任何用户都可以挂载
请注意光驱和软驱只有在装有介质时才可以进行挂载,因此它是noauto

9、文件加锁、解锁

/etc/hosts变成绝对只读文件

wKiom1YOYUXQZxoxAABE7yp5zRM538.jpg

wKioL1YOYYWBLLYvAABQY0FxAm0226.jpg

wKioL1YOYcewzr8ZAABEVwowyhs967.jpg

wKiom1YOYcjT1_LIAAA_C0xpWig340.jpg

/etc/hosts变成只能追加内容的文件

wKiom1YOYjmTMPblAABDjZ_F-Ng944.jpg

wKiom1YOYlbA8RjbAABzPfFiUL8707.jpg

wKioL1YOYreg3gUXAABGe86YVJk484.jpg

wKiom1YOYrXxnE72AACHLywHIdY068.jpg

10、允许启用哪些tty终端

wKioL1YOZAqDAHLrAAEZLMD04CM225.jpg

只允许root从指定的几个终端登录

wKiom1YOZWmhBGosAACyjA16qBE673.jpg

11、防止系统版本信息泄漏

wKioL1YOZpOwyAfyAAE2hjRAnwE431.jpg

 12、禁止Ctrl+Alt+Del重启

wKiom1YOZwfgfOIJAAC1Xq6K5m8154.jpg

13grub加密码

wKioL1YOZ6jwEQG-AAKXvBseNeY675.jpg