LAMP之LINUX安全配置总结

LAMP之LINUX安全配置总结

目录

LAMP之LINUX配置总结 (1)

目录 (1)

LINUX介绍 (1)

课程说明 (1)

一、SSH默认端口修改 (1)

二、用户管理 (2)

三、切换用户 (2)

四、SUDO管理 (3)

五、禁止空口令 (4)

六、禁止root登录 (4)

七、内核修改 (4)

八、其它配置 (4)

LINUX介绍

Linux操作系统，是一种计算机操作系统。Linux操作系统的内核的名字也是“Linux”。Linux操作系统也是自由软件和开放源代码发展中最著名的例子。

课程说明

上期教程我们学会了很多平时常用的命令及参数，不知大家是否认真完成了作业呢？本期教程，将教大家如何安全配置我们的LINUX系统，真正走进SA大门。

一、S SH默认端口修改

首先，我们来修改SSH默认端口。我们为什么要修改SSH默认端口呢？因为大家都知道，SSH的默认端口是22，大家都知道了就很危险了，所以我们需要把SSH端口改一个别人不知道的，但是注意端口一定不要与其它服务冲突，否则可能会出现问题。

那么我们如何来修改SSH默认端口呢？请看生产线实例：

[root@lamphelp ~]# vi /etc/ssh/sshd_config #打开系统SSH配置文件

在其中加一句Port 端口号，如Port 52113

[root@lamphelp ~]# /etc/init.d/sshd restart #重启SSH服务，使其生效

Stopping sshd: [ OK ] #停止状态OK

Starting sshd: [ OK ] #启动状态OK

好了，我们现在重新用SSH端口连接服务器试试（如图1）

（图1）

二、用户管理

系统安装完成之后，我们始终在用系统的最高权限root用户登陆操作，这样是非常危险的，这样一旦有人获取了root密码后果将不堪设想。并且在工作当中可能需要给领导或开发人员开个用户，给他们设置小权限，让他们查阅或工作需要，这时候，我们该如何做呢？首先我们先来学会用什么命令可以创建用户和设置密码

[root@lamphelp ~]# useradd lamphelp #创建一个lamphelp用户

[root@lamphelp ~]# passwd lamphelp #为lamphelp用户设置一个密码Changing password for user lamphelp.

New UNIX password: #输入新密码

BAD PASSWORD: it is too simplistic/systematic

Retype new UNIX password: #再次输入确认

passwd: all authentication tokens updated successfully.

大家在输入密码时，可能会奇怪的发现，奇怪，我明明输入了密码，可是上面却没有反应？错啦！那不是没反应，而是你输入的密码被隐藏了。众所周知，在windows上输入密码会显示*符号，但是在LINUX下面，为了安全起见，输入密码索性全部隐藏了起来。千万不要以为死机了喔！

那么我们如何来修改密码呢？很简单，只需再次执行passwd lamphelp，既可为lamphelp 用户名修改密码了。当然，需要两种条件，第一，你登陆的是lamphelp用户名，第二，你是root用户。

三、切换用户

说到了用户建立及密码修改，那么来说说如何切换用户呢？工作当中也是比较常用的，比如说重启tomcat的时候可能需要你用另一个用户，但是重新开个窗口就不值了，那怎么办呢？这里就用到了切换用户命令。

[root@lamphelp ~]# su – lamphelp #用su –用户名命令切换到lamphelp用户上[lamphelp@lamphelp ~]$ #看@前，已经切换到lamphelp用户上了

这个时候可能有人又要奇怪了，为什么没让我输入密码呢？我明明创建了密码。因为你之前用的是root用户，root是最高权限，是无所不能的，这就是root用户的危险所在！

好了，那么有人会说，我怎么切回去呢？这里有两种方法，分别介绍。

第一种方法：

[lamphelp@lamphelp ~]$ su - #切换至root

Password: #输入root密码

[root@lamphelp ~]# #切换过来了

大家是否注意到几个问题？

a、为啥su –后面没有跟用户名呢？因为su –默认就是指定root用户。

b、为啥这次让输入密码了呢？因为这个时候你是由普通用户转入管理用户。

c、为啥前面的$变成了#呢？因为$代表非root权限，#代表root权限。

第二种方法：

这个就很简单了，只需ctrl+d快捷键即可回退到root用户上，ctrl+d也可用于与服务器断开连接，ctrl+d的默认命令就是logout

四、S UDO管理

在公司里，有可能会有几个技术部门，包括开发部及运维部，而每个部门里可能又有很多技术人员，有时候公司或工作需要要求你为每个员工或多个员工建立一个用户，但其中个别用户需要root权限，这个时候怎么办呢？你会发现这样一个问题：

第一、我给大家建立了用户名，但是个别人员需要root权限，我把root密码给他们的话会很危险，因为给他们的同时不能保证其他人不知道，一旦泄露，后果不堪设想。

第二、root用户是系统里最高管理权限的用户，给出去，一旦不慎操作，可能会导致系统瘫痪甚至数据永久丢失。

第三、root密码给他人，可能他人会保存在很危险的地方，比如桌面等位置，可能会泄露出去。

第四、我是公司核心，root用户名及密码不能给别人。

……..

当你遇到这些苦恼的时候，你该怎么办呢？

这个时候，大家是否希望能够实现这样的功能？

我授权哪个用户名可以获取root权限，哪个用户就可以凭自己的用户名密码获取root 权限，而且不用知道root的密码。而我不授权的用户，且不知道root密码，是不能获取root 权限的。

这里，我们就用到了sudo管理，大家可以理解为特殊授权。

好了，我们来看生产环境如何操作的吧

[root@lamphelp ~]# visudo #打开sudo管理，切记没空格且必须root权限

## Allow root to run any commands anywhere #找到第75行

root ALL=(ALL) ALL #复制并粘贴这行

lamphelp ALL=(ALL) ALL #将root修改为lamphelp用户名即可

这个时候，我们来看看如何获取root，假设我们现在不知道root密码。

[lamphelp@lamphelp ~]$ sudo su –#在su –前面加个sudo 表示用sudo授权获取root Password: #这里切记，输入的是lamphelp的密码

[root@lamphelp ~]# #看，我们成功获取了root权限！

怎么样？我们没有用root的密码也可以获取root权限了吧？当然了，我们也可以设置不用输入密码。

lamphelp ALL=(ALL) NOPASSWD: ALL

修改后实时生效，无需重启。

五、禁止空口令

大家可知，系统中如果存有空口令用户是极为危险的，黑客轻轻松松的即可直接入侵进来，那么我们如何来禁止和防范呢？

我们还是打开SSH配置文件，在里面加上一行参数即可：

[root@lamphelp ~]# vi /etc/ssh/sshd_config #打开ssh配置文件PermitEmptyPasswords no #在大约14行前后，加上这行参数[root@lamphelp ~]# /etc/init.d/sshd restart #重启SSH服务

好了，现在就能有效的防止空口令用户登录系统了。

六、禁止root登录

root用户是最高权限用户这个大家都知道，因为大家都知道，所以让root登录是一件很危险的事情，那么我们如何来禁止root用户登录呢？

我们还是打开SSH配置文件：

[root@lamphelp ~]# vi /etc/ssh/sshd_config #打开ssh配置文件PermitRootLogin no #在大约15行前后，加上这行参数[root@lamphelp ~]# /etc/init.d/sshd restart #重启SSH服务

好了，现在我们的ROOT用户不能登陆了。

七、内核修改

我们还有一步要做，就是要对系统内核进行修改，以保证系统的安全，如对sysctl.conf 配置文件的修改，对limits.conf的句柄修改等。

八、其它配置

我们还可以：

1.只允许指定用户远程登录

2.注销帐户的时间.及命令的历史记录数.

3.删除登录信息

4.禁止Control-Alt-Delete键盘关闭命令

5.关闭不需要的服务

6.iptables 防火墙这里我们需要自己编辑规则，会在后期课程详解

7.禁止外来ping请求.

8.防止IP地址欺骗

9.script文件设置权限

10.重要文件文件免疫

11.删除多余的账号

12.Selinux

13.停止ipv6

当然，还有很多很多工作要做，部分内容由于较为深入，这里先不为大家详解了，会在后期课程进行详解

【作者信息】

姓名：张健（Jeacen）性别：男出生日期：1990年7月25日

家住：北京市公司担任职务：运维经理、高级系统运维工程师、mysql DBA QQ：198888885 MSN：jeacen@https://www.wendangku.net/doc/823573462.html, 联系电话：135******** 欢迎大家一起交流技术！互相学习！

https://www.wendangku.net/doc/823573462.html,/profile/jeacen

LAMP帮助站站长

https://www.wendangku.net/doc/823573462.html,