System Port Security (系统端口安全)

March 27, 2025March 27, 2025

[命令] Linux 命令 loginctl 的使用（查看和管理所有 SSH 登录会话\进程）

内容一：查看所有 SSH 登录会话\进程

# loginctl -a
SESSION   UID USER         SEAT TTY  
     27  1001 mingyuzhu      pts/0

（
补充：从输出结果可以看出
1) 会话\进程的 SESSION 号码为 27
2) 创建会话\进程的用户 UID 是 1001
3) 创建会话\进程的用户是 mingyuzhu
4) 创建会话\进程的 SEAT TTY 是 pts/0
）

内容二：关闭某个 SSH 登录会话\进程

# loginctl terminate-session 27

（补充：这里以关闭 SESSION 号码是 27 的会话\进程为例）

内容三：批量关闭某个用户通过 SSH 登录的所有会话\进程

3.1 批量关闭某个用户通过 SSH 登录的所有会话\进程（显示输出结果）

# loginctl -a | grep mingyuzhu| awk '{print "loginctl terminate-session  "$1;system("loginctl terminate-session "$1"")}'

3.2 批量关闭某个用户通过 SSH 登录的所有会话\进程（不显示输出结果）

# loginctl -a | grep mingyuzhu| awk '{print "loginctl terminate-session  "$1;system("loginctl terminate-session "$1"")}' > /dev/null

或者：

# loginctl -a | grep mingyuzhu| `awk '{print "loginctl terminate-session  "$1;system("loginctl terminate-session "$1"")}'`

October 23, 2024October 23, 2024

[步骤] RHEL Security Services Daemon (SSSD) 客户端的设置

正文：

步骤一：确保本服务器使用的是全域名

# hostname -f
node0.eternalcenter.com

（补充：从这里可以看出本服务器已经使用了全域名 node1.eternalcenter.com）

步骤二：安装 Security Services Daemon (SSSD)

# yum install sssd

步骤三：通过 Security Services Daemon (SSSD) 加入域

# realm join eternalcenter.com -U eternalcenter

（补充：这里以通过认证域账号 eternalcenter 加入域 eternalcenter.com 为例）

步骤四：检查 Security Services Daemon (SSSD) 的日志

# cat /var/log/sssd/sssd_ad001.siemens.net.log | tail -200

（
补充：当出现类似以下的信息时，则代表 Security Services Daemon (SSSD) 已设置成功

......
......All data has been sent!
......
......Sending nsupdate data complete
......

）

补充：只让部分域账号登录本服务器

补充步骤一：修改 /etc/sssd/sssd.conf 配置文件

# vim /etc/sssd/sssd.conf

将部分内容修改如下：

......
access_provider = simple
simple_allow_users = acount1@eternalcenter.com, acount2@eternalcenter.com, acount3@eternalcenter.com
......

（补充：这里以只让域账号 acount1@eternalcenter.com、acount2@eternalcenter.com 和 acount3@eternalcenter.com 登录本服务器为例）

补充步骤二：让刚刚修改的配置文件生效

# systemctl restart sssd

October 23, 2024November 22, 2024

[步骤] RHEL 后台加密方式的设置（SSSD 域账号服务等客户端加密方式的设置）

步骤一：查看 RHEL 现有的后台加密方式

# cat /etc/crypto-policies/back-ends/krb5.config
aes128-cts-hmac-sha256-128 aes256-cts-hmac-sha384-192

（补充：从这里的输出结果可以看出，目前使用的后台加密方式有 aes128-cts-hmac-sha256-128 aes256-cts-hmac-sha384-192）

步骤二：修改 RHEL 的后台机密方式

# vi /etc/crypto-policies/back-ends/krb5.config

October 12, 2024November 22, 2024

[步骤] Linux 让 auditd 对所有进程进行监控的设置（让 auditd 日志进程最早被启动）

正文：

步骤一：让 auditd 日志进程最早被启动的目的

auditd 只能监控比它后启动的进程，恶意软件如果比它先启动则无法被其监控

步骤二：让 auditd 日志进程最早被启动

2.1 修改 /etc/default/grub 文件

在这一行里：

GRUB_CMDLINE_LINUX="......"

添加：

GRUB_CMDLINE_LINUX="...... audit=1"

2.2 使刚刚的修改生效

# grub2-mkconfig -o /boot/grub2/grub.cfg

参考文献：

https://access.redhat.com/solutions/971883

October 5, 2024November 22, 2024

[步骤] Linux SSH 只影响部分客户端访问的设置

案例一：只让某些客户端必须使用指定的算法（algorithm）（KexAlgorithms 参数）才能访问

# vim /etc/ssh/sshd_config

添加以下内容：

Host 192.168.0.1,192.168.0.2,192.168.0.3
    KexAlgorithms ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521

（补充：这里以让 IP 地址为 192.168.0.1、192.168.0.2 和 192.168.0.3 的客户端只能使用 ecdh-sha2-nistp256、ecdh-sha2-nistp384 和 ecdh-sha2-nistp521 算法（algorithm）才能访问为例）

案例二：让所有客户端必须使用指定的算法（algorithm）（KexAlgorithms 参数）才能访问

# vim /etc/ssh/sshd_config