System Login Security (系统登录安全) – Page 5

October 27, 2023November 22, 2024

[步骤] Linux 让某个用户不能通过密码 SSH 登录的设置

步骤一：让某个用户不能通过密码 SSH 登录

1.1 修改 /etc/sshd/sshd_config 配置文件

# vim /etc/sshd/sshd_config

添加以下内容：

......
Match User mingyuzhu
        PasswordAuthentication no
        GSSAPIAuthentication no
        PubkeyAuthentication yes

（补充：这里以让 mingyuzhu 用户不能通过密码进行 SSH 登录为例）

1.2 让刚刚修改的配置文件生效

# systemctl restart sshd

步骤二：测试此用户的 SSH 登录

2.1 测试此用户是否能通过密码进行 SSH 登录

# ssh -o PreferredAuthentications=gssapi-with-mic mingyuzhu@127.0.0.1
testuser1@sshserver: Permission denied (publickey).

# ssh -o PreferredAuthentications=gssapi-keyex mingyuzhu@127.0.0.1
testuser1@sshserver: Permission denied (publickey).

# ssh -o PreferredAuthentications=password mingyuzhu@127.0.0.1
testuser1@sshserver: Permission denied (publickey).

（
补充：
1) 这里以测试刚刚设置的用户 mingyuzhu 为例
2) 可以从结果中看出用户 mingyuzhu 无法通过密码进行 SSH 登录
）

2.2 测试此用户是否能通过 SSH 密钥进行 SSH 登录

# ssh -o PreferredAuthentications=publickey mingyuzhu@127.0.0.1

（
补充：
1) 这里以测试刚刚设置的用户 mingyuzhu 为例
2) 可以从结果中看出用户 mingyuzhu 无法通过 SSH 密钥进行 SSH 登录
）

July 27, 2023December 21, 2023

[步骤] Linux SSH 加密算法、全局加密算法、全局 Hash 算法、全局 TLS 版本、全局密钥加密算法的设置 (使用自定义 crypto policies 文件) (RHEL 8 版)

步骤一：确定 CRYPTO_POLICY= 参数

# vim /etc/sysconfig/sshd

确保部分内容如下：

......
# CRYPTO_POLICY=
......

步骤二：创建自定义 crypto policies 文件

# vim /etc/crypto-policies/policies/modules/CUSTOMER.pmod

创建以下内容：

# SSH Ciphers, Key-Exchange, Hash-Algorithms
ssh_cipher = AES-128-GCM AES-256-GCM
key_exchange = ecdh-sha2-nistp256 ecdh-sha2-nistp384
mac = HMAC-SHA2-256 HMAC-SHA2-256

# Global Ciphers
cipher = AES-128-GCM AES-256-GCM

# Global Hash
hash = SHA2-256 SHA2-384

# Global TLS
tls_cipher = AES-128-GCM AES-256-GCM
protocol = TLS1.3 TLS1.2
min_tls_version = TLS1.2

# Parameter sizes
min_dh_size = 4096
min_dsa_size = 4096
min_rsa_size = 4096

（
补充：这里以设置：
1) 创建名为 CUSTOMER.pmod 的自定义 crypto policies 文件
2) SSH cipher 是 AES-128-GCM 和 AES-256-GCM，SSH key_exchange 是 ecdh-sha2-nistp256 和 ecdh-sha2-nistp384，SSH mac 是 HMAC-SHA2-256 和 HMAC-SHA2-256
3) 全局 cipher 是 AES-128-GCM 和 AES-256-GCM
4) 全局 Hash 是 SHA2-256 和 SHA2-384
5) 全局 TLS cipher 是 AES-128-GCM 和 AES-256-GCM，TLS 版本必须要高于 TLS1.2
6) 全局加密算法 dh 必须要高于或等于 4096 位，dsa 必须要高于或等于 4096 位，rsa 必须要高于 4096
为例
）

步骤三：选择创建的自定义 crypto policies 文件

3.1 选择创建的自定义 crypto policies 文件

# update-crypto-policies --set DEFAULT:CUSTOMER

（补充：这里以选择名为 CUSTOMER.pmod 的自定义 crypto policies 文件为例）

3.2 让选择的自定义 crypto policies 文件

# update-crypto-policies

步骤四：确认选择的自定义 crypto policies 文件生效

# update-crypto-policies --show
DEFAULT:CUSTOMER

或者：

# cat /etc/crypto-policies/state/current
DEFAULT:CUSTOMER

（补充：这里显示选择了名为 CUSTOMER.pmod 的自定义 crypto policies 文件）

July 8, 2023November 22, 2024

[步骤] Linux 所有非 root 用户操作的监控

步骤一：配置 /etc/profile 文件

1.1 配置 /etc/profile 文件

# vim /etc/profile

添加以下内容：

......
if [ $UID -ge 0 ]
then
    exec -a -f -q /var/log/script-records/$USER-$UID-`date +%Y%m%d`.log
fi

（补充：这里以把所有非 root 用户的操作写入 /var/log/script-records/$USER-$UID-date +%Y%m%d.log 文件为例）

1.2 让刚刚的配置生效

# source /etc/profile

或者：

# reboot

步骤二：创建 /var/log/script-records 目录

2.1 创建 /var/log/script-records 文件

# mkdir /var/log/script-records

2.2 配置 /var/log/script-records 文件的配置文件

# chmod 750 /var/log/script-records

July 8, 2023July 9, 2023

[内容] Linux 查看系统日志的案例

案例一：查看用户创建记录

# cat /var/log/messages | grep -e /usr/sbin/useradd | grep ' ID='

案例二：查看用户删除记录

# cat /var/log/messages | grep -e /usr/sbin/userdel | grep ' ID='

June 11, 2023November 22, 2024

[内容] Linux 创建用户的默认配置文件

# cat /etc/default/useradd
# useradd defaults file
GROUP=100
HOME=/home
INACTIVE=30
EXPIRE=
SHELL=/bin/bash
SKEL=/etc/skel
CREATE_MAIL_SPOOL=yes