System Network & System Security & System Log (系统网络 & 系统安全 & 系统日志) – Page 43

September 22, 2020June 3, 2024

[步骤] Linux Kdump 的开启（用于收集内核崩溃时的信息）（openSUSE & SLES 版）

步骤一：确保 crash 和 kernel-debuginfo 两个软件包已安装

# rpm -qa | grep crash || zypper install crash ; rpm -qa | grep kernel-debug || zypper install kernel-debug

（注意：此方法只有 openSUSE & SLES 可以使用）

步骤二：给 Kdump 预留内存

2.1 给 Kdump 预留内存

2.1.1 方法一：通过在 /etc/default/grub 配置文件里修改 crashkernel 参数

2.1.1.1 在 /etc/default/grub 配置文件里修改 crashkernel 参数

# vim /etc/default/grub

在这一行里：

.....
GRUB_CMDLINE_LINUX_DEFAULT="......"
.....

确保有：

.....
GRUB_CMDLINE_LINUX="crashkernel=auto......"
.....

并确保此文件其他地方没有和 crashkernel= 相关的参数

（
补充：这里的 auto 代表系统会根据内存大小自动设置一个值，也可以指定一个值，例如：crashkernel=128M,high、crashkernel=256M,high 等等。如果设置成一个固定值，建议
1) 1 GB 到 4 GB 内存设置成 160 M
2) 4 GB 到 64 GB 内存设置成 192 M
3) 64 GB 到 1 TB 内存设置成 256 M
4) 大于 1 TB 内存设置成 512 M
）

2.1.1.2 让刚刚修改的内核参数生效

# grub2-mkconfig -o /boot/grub2/grub.cfg

2.1.2 方法二：通过 yast 工具修改 crashkernel 参数

2.1.2.1 方法二：通过 yast 工具修改 crashkernel 参数

# yast kdump

之后将 –Start-Up 中的 Kdump Low Memory [MiB] (72 – 3069) 修改为 256，将 –Start-Up 中的 Kdump High Memory [MiB] (0 – 7168) 修改为 512，之后再选择 [ OK ]

（补充：当 Kdump Low Memory 设置为 256，Kdump High Memory 设置为 512 时更易触发 Kdump）

（注意：此方法只有 openSUSE & SLES 可以使用）

2.1.2.2 让刚刚修改的内核参数生效

# reboot

2.2 显示给 Kdump 预留内存的大小

# makedumpfile --mem-usage /proc/kcore

步骤三：修改 Kdump 的配置信息

3.1 修改 Kdump 的配置文件

# vim /etc/kdump.conf

将以下内容：

......
path /var/crash
core_collector makedumpfile -l --message-level 1 -d 31
......

修改为：

......
path /var/crash
core_collector makedumpfile -c -l --message-level 1 -d 31
default reboot
......

（
补充：
1) path /var/crash
2) -c 参数会对搜集的内核崩溃时的信息进行压缩
3) default reboot 参数会让 KDUMP 收集完内核崩溃时的信息后重启
）

3.2 让刚刚修改的 Kdump 配置文件生效

# systemctl enable kdump.service ; systemctl restart kdump.service

步骤四：测试 Kdump

4.1 造成系统内核崩溃

# echo 1 > /proc/sys/kernel/sysrq ; echo c > /proc/sysrq-trigger

（注意：此时系统会自动崩溃并重启）

4.2 显示 Kdump 生成内核崩溃信息

# ls /var/crash/<date>/vmcore

（补充：这里的内核崩溃信息存放目录 /var/crash/，是刚刚在 /etc/kdump.conf 文件里指定的）

September 21, 2020June 19, 2022

[内容] VNC 数据的加密（通过 SSH 实现）

内容一：直接通过 SSH 对 VNC 进行加密

1.1 直接通过 SSH 对 VNC 进行加密的格式

# vncviewer -via <SSH user of VNC server>@<IP address of VNC server> localhost :<VNC service number>

1.2 直接通过 SSH 对 VNC 进行加密的案例

# vncviewer -via zhumingyu@eternalcenter.com localhost :1

（补充：这里以使用 eternalcenter.com 服务器上的 zhumingyu 用户访问编号为 1 的 VNC 服务为例）

内容二：通过非标准端口的 SSH 对 VNC 进行加密

2.1 通过 SSH 对 VNC 进行加密，同时使用 SSH 隧道的格式

# ssh -p <SSH non standard port number> -L <Port number of VNC service>:localhost:<Port number of VNC service> -l  <SSH user of VNC server> <IP address of VNC server>

另开启一个命令行终端：

# vncviewer localhost :<VNC service number>

2.2 通过 SSH 对 VNC 进行加密，同时使用 SSH 隧道的案例

# ssh -p 1000 -L 5901:localhost:5901 -l zhumingyu eternalcenter.com

另开启一个命令行终端：

# vncviewer localhost :1

（补充：这里以使用 eternalcenter.com 服务器上的 zhumingyu 用户通过 1000 端口号的 SSH 访问编号为 1 的 VNC 服务为例）

August 7, 2020December 26, 2021

[步骤] Linux 文件或目录的查找（特殊权限）

# find / -type f \( -perm -1000 -o -perm -2000 -o -perm -4000 \) -print

August 6, 2020November 22, 2024

[步骤] Linux 密码的安全（设置密码复杂度和加密算法）（CentOS Linux 8 & RHEL 8 版）

步骤一：设置密码必须包含大小写字母等策略

# vim /etc/security/pwquality.conf

将部分内容修改如下：

......
minlen = 15
......
dcredit = -1
......
ucredit = -1
......
lcredit = -1
......
ocredit = -1
......
dictcheck = 1
......
usercheck = 1
......

（
补充：这里以
1) 密码最小长度为 15 个字符（minlen = 15）
2) 密码必须包含数字的个数（dcredit = -1）
3) 密码必须包含大写字母的个数（ucredit = -1）
4) 密码必须包含小写字母的个数（lcredit = -1）
5) 密码必须包含特殊字符的个数（ocredit = -1）
6) 密码不能包含字典（dictcheck = 1）
7) 密码不能包含用户（usercheck = 1）
为例
）

步骤二：设置新密码不能和旧密码重复的策略以及加密算法

2.1 配置 authselect 自定义认证

2.1.1 检查是否选择了 authselect 自定义认证

# authselect current | awk 'NR == 1 {print $3}' | grep custom/
custom/password-policy

（
补充：
（1）如果这条命令里没有输出则代表没有选择自定义认证
（2）从这里的输出结果可以看出这里选择的自定义认证是 custom/password-policy
）

2.1.2 如果 authselect 自定义认证存在

2.1.2.1 修改 /etc/authselect/custom/password-policy/system-auth 配置文件

# vim /etc/authselect/custom/password-policy/system-auth

将以下内容：

......
password    requisite     pam_pwquality.so ......
......
password    sufficient    pam_unix.so ......
......

修改为：

...... 
password    requisite     pam_pwhistory.so try_first_pass local_users_only enforce-for-root remember=5 use_authtok ......
......
password    sufficient    pam_unix.so sha512 shadow try_first_pass use_authtok remember=24 use_authtok ......
......

（
补充：这里以
1) 新密码不能和前 5 个旧密码重复
2) 使用 SHA512 哈希算法加密密码
为例
）

2.1.2.2 修改 /etc/authselect/custom/password-policy/password-auth 配置文件

# vim /etc/authselect/custom/password-policy/password-auth

将以下内容：

......
password    requisite     pam_pwquality.so ......
......
password    sufficient    pam_unix.so ......
......

修改为：

...... 
password    requisite     pam_pwhistory.so try_first_pass local_users_only enforce-for-root remember=5 use_authtok ......
......
password    sufficient    pam_unix.so sha512 shadow try_first_pass use_authtok remember=24 use_authtok ......
......

（
补充：这里以
1) 新密码不能和前 5 个旧密码重复
2) 使用 SHA512 哈希算法加密密码
为例
）

2.1.3 如果 authselect 自定义认证不存在

2.1.3.1 生成新的 authselect 自定义认证

2.1.3.1.1 备份当前的 authselect 自定义认证

# authselect apply-changes -b --backup=sssd.backup

（补充：这里以创建 sssd.backup 备份文件为例）

2.1.3.1.2 创建新的 authselect 自定义认证

# authselect create-profile password-policy -b sssd --symlink-meta --symlink-pam

（补充：这里以生成名为 password-policy 的自定义认证为例）

2.1.3.1.3 选择新的 authselect 自定义认证

2.1.3.1.3.1 选择新的 authselect 自定义认证

# authselect select custom/password-policy with-sudo with-faillock without-nullok with-mkhomedir --force

（
补充：
1) 这里以选择名为 password-policy 的自定义认证为例
2) 这里设置了 with-sudo、with-faillock、without-nullok 和 with-mkhomedir 参数
）

（注意：使用了 with-mkhomedir 参数后，会提示需要开启 oddjobd）

2.1.3.1.3.2 满足选择新的 authselect 自定义认证时 with-mkhomedir 参数的要求

# dnf install oddjob ; systemctl enable --now oddjobd.service

2.1.3.1.4 显示当前选择的 authselect 自定义认证

# authselect current

（补充：这里以生成并选择名为 password-policy 的自定义认证为例）

2.1.3.2 修改 authselect 自定义认证

2.1.3.2.1 修改 /etc/authselect/custom/password-policy/system-auth 配置文件

# vim /etc/authselect/custom/password-policy/system-auth

将以下内容：

......
password    requisite     pam_pwquality.so ......
......
password    sufficient    pam_unix.so ......
......

修改为：

...... 
password    requisite     pam_pwhistory.so try_first_pass local_users_only enforce-for-root remember=5 use_authtok ......
......
password    sufficient    pam_unix.so sha512 shadow try_first_pass use_authtok remember=24 use_authtok ......
......

（
补充：这里以
1) 新密码不能和前 5 个旧密码重复
2) 使用 SHA512 哈希算法加密密码
为例
）

2.1.3.2.2 修改 /etc/authselect/custom/password-policy/password-auth 配置文件

# vim /etc/authselect/custom/password-policy/password-auth

将以下内容：

......
password    requisite     pam_pwquality.so ......
......
password    sufficient    pam_unix.so ......
......

修改为：

...... 
password    requisite     pam_pwhistory.so try_first_pass local_users_only enforce-for-root remember=5 use_authtok ......
......
password    sufficient    pam_unix.so sha512 shadow try_first_pass use_authtok remember=24 use_authtok ......
......

（
补充：这里以
1) 新密码不能和前 5 个旧密码重复
2) 使用 SHA512 哈希算法加密密码
为例
）

2.2 让配置的 authselect 自定义配置认证生效

# authselect apply-changes

（注意：此步骤会刷新 /etc/authselect/system-auth 配置文件和 /etc/authselect/password-auth 配置文件）

步骤三：设置加密算法

# vim /etc/login.defs

将以下内容：

......
ENCRYPT_METHOD ......
......

修改为：

......
ENCRYPT_METHOD SHA512
......

（补充：这里以使用 SHA512 哈希算法加密密码为例）

August 1, 2020June 3, 2024

[内容] Linux Umask 的设置

内容一：Umask 值的含义

如果 Umask 的值是 0022：
创建的新目录的默认权限是：777 – 022 = 755
创建的新文件的默认权限是：666 – 022 = 644

内容二：临时设置 Umask

2.1 查看当前 Umask 值

# umask
0022

2.2 临时设置 Umask 值

2.2.1 方法一：使用权限数字设置默认权限值

# umask 0002

2.2.2 方法二：使用权限标志设置默认权限值

# umask -S u=rwx,g=rwx,o=rw

内容三：永久设置 umask

3.1 给某个用户单独永久设置 Umask

3.1.1 切换到要永久设置 Umask 的用户

# su - root

（补充：这里以切换到 root 用户为例）

3.1.2 给某个用户单独添加 Umask 参数

# vim ~/.bashrc

添加以下内容：

......
umask 022

（补充：这里以将 Umask 设置为 022 为例）

3.1.3 让 Umask 设置生效

# source ~/.bashrc

3.2 全局永久设置 Umask 的方法

3.2.1 在 /etc/login.defs 配置文件里设置默认 Umask 参数

# vim /etc/login.defs

将以下内容：

UMASK ......

修改为：

UMASK           022

（补充：这里以将 Umask 的默认值设置为 022 为例）

3.2.2 在 /etc/profile 配置文件里设置全局 Umask 参数

# vim /etc/profile

将以下内容：

......
if [ $UID -gt 199 ] && [ "`/usr/bin/id -gn`" = "`/usr/bin/id -un`" ]; then
    umask ......
else
    umask ......
fi
......

修改为：

......
if [ $UID -gt 199 ] && [ "`/usr/bin/id -gn`" = "`/usr/bin/id -un`" ]; then
    umask 002
else
    umask 022
fi
......

（补充：这里以将 UID 小于 199 的用户 Umask 设置为 002，UID 大于等于 199 的用户 Umask 设置为 022 为例）

（注意：openSUSE & SLES 的 /etc/profile 配置文件里没有这些内容，所以如果是对 openSUSE & SLES 进行操作时则需要手动创建这些内容）

或者：

# vim /etc/profile

添加以下内容：

......
umask 022

（补充：这里以将所有用户的全局 Umask 设置为 022 为例）

3.2.3 在 /etc/bashrc 配置文件里设置全局 Umask 参数

# vim /etc/bashrc

将以下内容：

......
if [ $UID -gt 199 ] && [ "`/usr/bin/id -gn`" = "`/usr/bin/id -un`" ]; then
    umask ......
else
    umask ......
fi
......

修改为：

......
if [ $UID -gt 199 ] && [ "`/usr/bin/id -gn`" = "`/usr/bin/id -un`" ]; then
    umask 002
else
    umask 022
fi
......

（补充：这里以将 UID 小于 199 的用户 Umask 设置为 002，UID 大于等于 199 的用户 Umask 设置为 022 为例）

（注意： openSUSE & SLES 没有 /etc/bashrc 配置文件，所以如果是对 openSUSE & SLES 进行操作时则需要手动创建此文件和这些内容）

或者：

# vim /etc/bashrc

添加以下内容：

......
umask 022

（补充：这里以将所有用户的全局 Umask 设置为 022 为例）

（注意： openSUSE & SLES 没有 /etc/bashrc 配置文件，所以如果是对 openSUSE & SLES 进行操作时则需要手动创建此文件）

3.2.4 让永久设置的 Umask 设置生效

# source /etc/bashrc ; source /etc/profile

（
注意：
1) 当永久设置的 Umask 生效后，用户必须要重新登录后才会刷新 Umask
2) 当 /etc/login.defs 配置文件、/etc/bashrc 配置文件和 /etc/profile 配置文件里设置的 Umask 值不一致时，会以 /etc/profile 文件里设置的为准
3) 当同一个文件里设置了多个 Umask 个值时，会以最后一个值为准
）