第10章 常用系统安全配置.pptxVIP

延时文字教师：庞振鹏第十章常用系统安全配置Linux基础与服务管理

常用系统安全配置目录10.110.2系统安全加固配置文件系统安全账户与远程安全入侵检测与端口扫描10.3防火墙作业10.410.510.6

第十章常用系统安全配置学习目标了解入侵检测及端口检测了解常用的防火墙管理软件了解一些常规的加固系统的方法了解加强系统安全的基础配置

10.1系统安全加固配置安全，本身包含的范围比较广。Linux安全，服务器安全、网络安全和数据安全等，均属于这个范围，各自还可以细分为不同的内容。对Linux服务器进行安全加固，主要是为了防止黑客轻易的进入服务器并进行破坏，导致线上环境出现故障，影响服务器及业务等的正常运行。Linux服务器安装完成后，有许多设置等需要手动完成，如：aliases（别名）、命令历史等，下面将简单介绍一些有助于对服务器进行加固的配置。

10.1系统安全加固配置1、GRUB加密2、命令历史3、删减系统登录信息4、禁止Control-Alt-Delete键盘命令5、内核常用参数修改6、关闭不需要的服务安全加固配置

10.1系统安全加固配置在系统安装完成后，默认的GRUB是没有加密的，而在某些在特殊的情况下，需要对其进行加密，防止被恶意修改等。在CentOS7.5系统中，可以使用“grub2-setpassword”命令直接生成密码文件，重启服务器即可生效。若能在文件/boot/grub2/user.cfg中查看到以：“GRUB2_PASSWORD=grub.pbkdf2.sha512.10000.”开头的内容，则表示加密成功，1.GRUB加密可以使用“grub2-setpassword”命令直接生成密码文件，重启服务器即可生效

10.1系统安全加固配置Linux的命令历史记录，可以使用history命令查看，但是默认仅能显示序号和已执行的命令，若需要显示更多信息，则需要进行定制。一些常用的设置，如下所示：●HISTFILESIZE：历史命令保存的条数；●HISTSIZE：保留的历史命令的条数；●HISTFILE：指定历史记录保存的文件，默认为：~/.bash_history； ●HISTCONTROL：设置为：ignoredups时表示从命令历史中剔除连续且重复的条目，也可以设置为其他的值，如：erasedups、ignorespace；●HISTIGNORE：在命令历史中不需要记录的命令，以冒号分隔； ●HISTTIMEFORMAT：定义执行history命令时的显示格式。除了上述的一些设置外，还可以使用如：“history-a”、“shopt-shistappend”等命令。而这些设置，若需要全局生效，建议写入：/etc/profile、/etc/bashrc中；若仅当前用户生效，则写入：~/.bashrc、~/.bash_profile比较合理。2、命令历史

10.1系统安全加固配置默认情况下，在终端中输入“history”命令后，得到的结果如下所示：若需要显示出更多的信息，如在生产环境中需要知道命令的指行时间等，则需要对命令历史进行调整。以向~/.bashrc文件中添加相关的指令，从而达到改变命令历史显示。例：向文件~/.bashrc中添加自定义的设置，完成如图10-2所示。[root@localhost~]#history1clear2ls3history如图10-2

10.1系统安全加固配置执行命令“source~/.bashrc”生效修改，并使用“history”命令查看是否正常生效，若生效，则可以查看如图10-4所示的内容。图10-4命令历史自定义生效

10.1系统安全加固配置如果用户想在退出登录后清除历史记录或执行部分其他操作，可以在~/.bash_logout文件中进行处理。例如，需要在退出登录后，将历史记录清空，可以通过向文件中添加“history-c”来实现，演示过程中清空了~/.bash_history文件，如图10-5所示。图10-5登出后不保存命令历史 从图10-5可以看出，在登出之前，命令历史中存在执行的两条命令的记录，但是登出再重新登录后，上一次操作的命令历史却并没有被记录。

10.1系统安全加固配置相关的文件有：/etc/issue、/etc/、/etc/redhat-release、/etc/motd。/etc/issue和/etc/文件主要用于登录前的信息显示。在使用本地终端或控制台登录时，调用的是/etc/issue的内容；当使用ssh登录时，会调用/etc/的内容。默认情况下，ssh服务不会调用/etc/的内容，若需要显示文件中的内容，则需