Liunx中系统安全及文件系统（极其粗糙版）

PS：下面知识点还很粗糙下次有时间再改

系统安全：

系统安全和数据防护，数据备份的资质

比如三台服务器：

500万

工信部是有要求的，组织必须保证处理的个人数据的安全性

品牌形象如何维护呢

基于liunx的安全加固措施：

权限进行控制

账号安全：

账号管理：

将非登录用户设置为nologin

cat /etc/password

usermod -S /sbin/nologin dn

/bin/bash 可以登录系统

/sbin/nologin禁止用户登录

锁定长期不使用的账号：

usermod -L 用户名 #锁定账号

usermod -U 用户名 #解锁密码

passwd -l 用户名 #锁定密码

passwd -u 用户名 #解锁密码

usermod -S 账号名 #查看是否锁定账号

这两种方式root用户切换不受影响，切换会root用户也可以，但是从普通用户切换会被禁止、

删除无用的账号：

userdel -r 用户名

-r：删除用户的同时一并删除用户的家目录

锁定重要的文件，禁止修改

chattr +i 文件路径 #锁定文件

(不只是可以锁定账号文件,普通文件也可以；但锁定/etc/passwd就无法新增或更改或删除用户；锁定/etc/shadow就无法对账号的密码进行更改；锁定/etc/group就无法进行组的相关操作;/etc/fatab 自动挂载的文件)

/etc/passwd

/etc/shabow #用户密码都在shadow

/etc/fatab #自动挂载的文件

chattr -i 文件路径 #解锁被锁定的文件文件

lsattr 文件路径 #查看此文件是否被锁定

进程的重要配置文件：

nginx.conf

密码控制：

设置密码的有效期，或者要求用户下次登录的时候修改密码

设置新用户的默认密码自动过期时间: vi /etc/login.defs 修改配置项:PASS_MAX_DAYS 30(这个数字时间是自定义)

修改老用户的默认密码自动过期时间: chage -M 天数 账号

设置用户在第 N 天登录后必须修改密码: chage -d N 账号

命令历史与自动注销：

/etc/profile #linux系统全局配置文件，

history 查看历史命令(系统默认保存1000条)，但有可能泄露密码登，可以在/etc/profile中配置HISTSIZE=100来将行数缩减到100行；也可以修改~/.bash_logout文件，在其中 history -C clear 指定在用户登出时清空历史记录

更改文件后source /etc/profile对修改文件立刻生效无需重启

export HISTSIZE =200 #最近200条历史命令

自动退出登录,可以设置超时时间,当超过一定时间,终端没有任何输入,则自动退出登录

vi ~/.bash_profile export TMOUT=600 #超时时间设置为十分钟

可以用unset TMOUT 来取消超时设置

vi /etc/profile

TMOUT=6

限制su命令切换用户：

普通用户登录只能在自己的登录环境使用，无法切换到其他用户

cd /etc/pam.d/

su

pam模块

wheel组

wheel组：是一个页数的组，加入了wheel组之后，可以和root用户使用管理员的命令，需要配合sudo

把一些特殊需要的账号加入wheel组，让他们可以使用管理员的命令，方便操作

wheel组默认为空，需要管理员手动添加

配置wheel组权限，注意权限最小化，仅设置用户需要的使用的命令即可，任务所需的最小权限

sudo授权：

/etc/sudoers 进行配置权限

这个文件默认的权限是400

保存时，必须wq！

bin 是所有用户可以用的

sbin是只有管理员用户可以用的

关键字控制用户，普通用户可以使用哪些管理员，但是做出一定的限制，

Host_Alias MYHOSTS = test1

#设置主机名

User_Alias MYUSERS = dn

#限制的用户名

Cmnd_Alias MYCMNDS = /sbin*,!/sbin/reboot,!/sbin/poweroff,!/sbin/init,!/usr/bin/rm

MYUSERS MYHOSTS=MYCMNDS

面试题

系统安全加固的措施：

1.将非登录用户的shell设置为nologin

2.锁定账号

usermod -L 锁定账号

passwd -l 锁定密码

3.删除无用的账号

4.chattr +i 锁定重要文件 /etc/passwd /etc/shadow /etc/fstab

5.设置密码，密码设置复杂一些

6.修改历史命令的记录

7.禁止用户切换

wheel组，可以和root一样执行管理员命令sudo权限最小化

8.给grub菜单设置密码

第一步：按e键查看未设置之前的状态

重启之后按e，查看配置，不建议修改

第二步：设置GRUB密码并重启

grub2-setpassword

9.设置sudo的权限

10.改掉一些大家都知道的服务端口号 ssh 22 http 80 mysql 3306

读取文件也是按照一个块一个块读取文件

文件数据：包括实际数据和元信息(文件的属性，权限)

数据保存在块

元信息：文件的创建者，创建日期，文件的大小，文件权限。保存在inode号中

inode 号 ls -i

特点：只要创建文件，系统就会分配一个inode号，inode号在同一目录下是不重复的，回收之后的inode号可以继续使用

操作系统是根据inode号来识别不同的文件

打开文件时，系统就开始根据inode号来进行操作，inode号也要占用空间，但是很小

只有判断出用户具有对文件的操作权限之后，才会指向文件锁在的块，进行操作

一个文件必须要有一个inode号，而且至少占用一个块

如果inode号耗尽了，即使磁盘还有空间，也无法继续

文件备份与恢复

备份：xfsdump

恢复：xfsrestore

备份级别：0表示完全备份，1-9表示增量备份

默认备份级别是0

工作中也是全量备份

备份的命令格式：

-f:指定备份文件的路径和文件名

/dev/sdb3指定备份的设备

xfsdump的使用条件：

1.只能备份已经挂载的分区

2.只能使用root权限才可以操作

3.只能备份xfs文件系统

4.备份数据只能通过xfsrestore来进行解析，恢复

备份的文件，只能是一个文件，最后是一个不存在的文件，不能是一个目录，而且不能是一个已经有内容的文件

-f：从那个文件恢复

/data3:恢复到哪个目录，都要一一对应的

http://t.csdnimg.cn/7xPTd

http://t.csdnimg.cn/F8tny

这有些知识点可以结合这个链接一起看，但是已此篇为主