delphi 可做网站吗,游戏网页设计图片,站长网站推广,公司logo设计免费目录 引出Linux系统安全一、重要文件二、帐户口令三、权限管理四、日志配置五、服务安全六、其他配置 缓存三兄弟#xff1a;缓存击穿、穿透、雪崩缓存击穿缓存穿透缓存雪崩 总结 引出
Linux进阶——系统安全#xff0c;重要文件#xff0c;加固系统的相关配置 Linux系统安… 目录 引出Linux系统安全一、重要文件二、帐户口令三、权限管理四、日志配置五、服务安全六、其他配置 缓存三兄弟缓存击穿、穿透、雪崩缓存击穿缓存穿透缓存雪崩 总结 引出
Linux进阶——系统安全重要文件加固系统的相关配置 Linux系统安全
一、重要文件
/etc/passwd #记录本地用户的属性信息如UID、GID
/etc/shadow #存放用户的口令信息 只有系统管理员能查看
/etc/pam.d/system-auth #账户安全配置文件
/etc/login.defs #修改登录的配置文件
/etc/profile #Linux全局变量信息
/etc/ssh/sshd_config #ssh服务配置文件
/etc/hosts.allow 与 /etc/hosts.deny #控制外部主机对本机服务的访问二、帐户口令 删除不需要的用户与组锁定暂时不需要的用户。 userdel 用户 #删除用户 groupdel 用户组 #删除用户组 passwd -l 用户名 #锁定不必要的用户 passwd -u 用户名 #解锁需要恢复的用户检查非root账号uid是否为0。 awk -F: ($3 0) { print $1 } /etc/passwd检查是否有空口令账号。 awk -F: ($2 ) { print $1 } /etc/shadow设置口令策略。 1.修改 /etc/login.defs PASS_MIN_LEN 12 #最小密码长度设置为12位 PASS_MAX_DAYS 90 #设置用户的密码最长使用天数 2.修改 /etc/pam.d/system-auth passwd requisite pam_cracklib.so retry5 difok3 ucredit-1 lcredit-1 dcredit-1 上述命令意义 retry5 #尝试次数5 difok3 #最少不同字符3 ucredit-1 #最少大写字母1 lcredit-1 #最少小写字母1 dcredit-1 #最少数字1配置帐户认证失败锁定。 #修改 /etc/pam.d/system-auth
auth required pam.tally.so onerrfail deny5 unlock_time1800 even_deny_root root_unlock_time1800 onerrfail deny5 #登录连续 5 次失败
unlock_time1800 #普通用户锁定时间1800秒
even_deny_root #root用户也进行认证锁定
root_unlock_time1800 #root用户锁定时间1800秒终端超时配置 echo export TMOUT600/etc/profile #超时时间为十分钟三、权限管理 初始化文件权限 #修改 /etc/profile umask027 #设置其他用户无改文件的任何权限 #文件夹默认权限777文件默认666减去umask值限制能够 su 为 root 的用户 #修改/etc/pam.d/su auth required /lib/security/pam_wheel.so groupwheel #只允许wheel组的用户su到root控制sudo权限确保只有root用户拥有所有权限 #打开/ect/sudoers 文件 root ALL(ALL:ALL) ALL四、日志配置 日志文件 /var/log/lastlog 最后一次用户成功登陆的信息时间、登陆IP等。/var/log/messages 常见的系统和服务错误信息。/var/log/secure Linux系统安全日志记录用户和工作组变换情况用户登陆认证情况。/var/log/syslog 只记录警告信息lastlog查看。/var/log/cron 记录定时任务的信息。/var/log/btmp 记录Linux登陆失败的信息lastb查看。/var/log/wtmp 该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件last查看。 syslog服务是否启用并查看相关配置 ps –aef | grep syslog #确认syslog是否启用 cat /etc/syslog.conf #查看日志相关配置各日志文件存放位置五、服务安全 SSH服务 使用非常规的SSH端口 #修改配置文件/etc/ssh/sshd_config Port 223限制能够SSH登录的用户,禁止root账户远程登录。 #修改配置文件/etc/ssh/sshd_config PermitRootLogin no #禁止root账户远程登录 Allowusers test #允许test用户可以远程登录屏蔽登录banner信息。 #修改配置文件/etc/ssh/sshd_config banner NONE #也可修改 /etc/motd 文件内容其内容将作为banner信息显示给登录用户允许指定IP进行ssh。 #修改/etc/hosts.allow文件 sshd:192.168.1.120:allow #允许192.168.1.120使用ssh连接禁止所有IP使用ssh连接 #修改/etc/hosts.deny sshd:ALL使用秘钥进行 ssh 登录 # 1.修改要远程的主机的 /etc/ssh/sshd_config 开启rsa与公钥认证并指定认证秘钥存放位置 RSAAuthentication yes PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys # 2.本地主机生成密钥会生成 id_rsa 与 id_rsa.pub ssh-keygen -t rsa # 3.在远程主机上指定用户的家目录下创建.ssh/目录 cd ~ mkdir .ssh # 4.将 id_rsa.pub 放于远程主机下的.ssh/目录目录下并更改文件名 mv id_rsa.pub authorized_keys升级SSH版本 yum update openssh -y 停用或禁用不必要的服务 查看所有服务的自启情况 # centos7 查看所有服务自启情况 systemctl list-unit-files # centos6 查看所有服务自启情况 chkconfig --list六、其他配置 防火墙配置 查看防火墙是否开启。 #查看iptables是否开启 service iptables status #查看firewalld是否开启 systemctl status firewalld根据需要开放端口不需要的端口不开放。 #使用iptables将tcp 80端口开放 iptables -I INPUT -p tcp --dport 80 -j ACCEPT #注iptables需要保证在规则表的最后添加有拒绝所有连接的规则 iptables -A INPUT -j DROP #使用firewalld将tcp 80端口开放 firewall-cmd --add-port80/tcphistory 配置 默认情况下系统可以保存1000条的历史命令根据需求增加条数。 #保存1万条命令 sed -i s/^HISTSIZE1000/HISTSIZE10000/g /etc/profile为历史的命令增加登录的 IP 地址、执行命令时间等信息。 # 在/etc/profile的文件尾部添加如下行数配置信息 USER_IPwho -u am i 2/dev/null | awk {print $NF} | sed -e s/[()]//g if [ $USER_IP ] then USER_IPhostname fi export HISTTIMEFORMAT%F %T $USER_IP whoami shopt -s histappend export PROMPT_COMMANDhistory -a #执行命令让配置生效 source /etc/profile查看内核版本在不影响业务的情况下升级为新的内核版本。 uname -a #查看系统内核版本信息Linux下的自启动项 /etc/rc.d/rc.local系统在启动时进行加载执行/etc/rc.local是本文件的软链接文件。
/etc/profile: 此文件为系统的每个用户设置环境信息,当用户第一次登录时,该文件被执行。
/etc/bashrc: 为每一个运行bash shell的用户执行此文件.当bash shell被打开时,该文件被读取。
~/.bash_profile: 每个用户都可使用该文件输入专用于自己使用的shell信息,当用户登录时,该文件仅仅执行一次。
~/.bashrc: 该文件包含专用于你用户的bash shell的bash信息,当登录时以及每次打开新的shell时,该该文件被读取。~/.bash_logout: 当每次退出系统(退出bash shell)时,执行该文件.缓存三兄弟缓存击穿、穿透、雪崩
缓存击穿 缓存击穿redis中没有但是数据库有 顺序先查缓存判断缓存是否存在如果缓存存在直接返回数据如果缓存不存在則查询数据库将数据库的数据存入到缓存 解决方案将热点数据设置过期时间长一点针对数据库的热点访问方法上分布式锁
缓存穿透 缓存穿透redis中没有数据库也没有 解决方案
1将不存在的key在redis设置值为null
2使用布隆过滤器;
原理https://zhuanlan.zhihu.com/p/616911933 布隆过滤器
如果确认key不存在于redis中那么就一定不存在
它说key存在就有可能存在也可能不存在 误差 布隆过滤器 1、根据配置类中的 key的数量 误差率计算位图数组【二维数组】 2、通过布隆过滤器存放key的时候会计算出需要多少个hash函数由hash函数算出多少个位图位置需要设定为1 3、查询时根据对应的hash函数判断对应的位置值是否都为1如果有位置为0则表示key一定不存在于该redis服务器中如果全部位置都为1则表示key可能存在于redis服务器中 缓存雪崩 缓存雪崩 Redis的缓存雪崩是指当Redis中大量缓存数据同时失效或者被清空时大量的请求会直接打到数据库上导致数据库瞬时压力过大甚至宕机的情况。
造成缓存雪崩的原因主要有两个
1.相同的过期时间当Redis中大量的缓存数据设置相同的过期时间时这些数据很可能会在同一时间点同时失效导致大量请求直接打到数据库上。
2.缓存集中失效当服务器重启、网络故障等因素导致Redis服务不可用且缓存数据没有自动进行容错处理当服务恢复时大量的数据同时被重新加载到缓存中也会导致大量请求直接打到数据库上。
预防缓存雪崩的方法主要有以下几种
1.设置不同的过期时间可以将缓存数据的过期时间分散开避免大量缓存数据在同一时间点失效。
2.使用加锁可以将所有请求都先进行加锁操作当某个请求去查询数据库时如果还没有加载到缓存中则只让单个线程去执行加载操作其他线程等待该线程完成后再次进行判断避免瞬间都去访问数据库从而引起雪崩。
3.提前加载预热在系统低峰期可以提前将部分热点数据加载到缓存中这样可以避免在高峰期缓存数据失效时全部打到数据库上。
4.使用多级缓存可以在Redis缓存之上再使用一层缓存例如本地缓存等当Redis缓存失效时还能够从本地缓存中获取数据避免直接打到数据库上。 本地缓存ehcache oscache spring自带缓存 持久层框架的缓存 总结
Linux进阶——系统安全重要文件加固系统的相关配置
