一、重要文件

        /etc/passwd         #记录本地用户的属性信息，如UID、GID

        /etc/shadow        #存放用户的口令信息 只有系统管理员能查看

        /etc/pam.d/system-auth     #账户安全配置文件

        /etc/login.defs               #修改登录的配置文件

        /etc/profile                        #Linux全局变量信息

        /etc/ssh/sshd config             #ssh服务配置文件

        letc/hosts.allow 与 /etc/hosts.deny         #控制外部主机对本机服务的访问

二、账户命令

1、针对账户操作的命令（删除不必要的用户，锁定用户）

        userdel 用户组          #删除张三用户

        group 用户组            #删除用户组

        gpasswd -d zhangsan root    #把张三从root组中删除

        pass -d                     #清除用户密码。从而用户可直接登陆（没密码远程无法登录）

        pass -l                      #锁定用户

        pass -u                     #解锁用户，如果用户的密码被清除过，需要指定参数-f强制执行
        pass -s                     #查看账户的状态

2、命令

awk -F: '($2 == "") { print $1 }' /etc/shadow     #检测是否存在空密码账号

awk -F: '($3 == 0) { print $1 }' /etc/passwd    #检查非root账号的UID为0:（超级管理员权限）

3、配置口令的策略

①配置密码复杂度要求

vim /etc/login.defs

PASS_MAX_DAYS 90    #密码最长使用天数

PASS_MIN_LEN 12         #最小密码长度5

②配置账户认证失败锁定

vim /etc/pam.d/system-auth

onerr=fail deny=3       #连续登录失败3次

unlock_time=60                 #普通用户锁定60秒

even_deny_root root_unlock_time=1200     #root用户锁定1200秒

③配置终端超时

echo"export TMOUT=600">>/etc/profile          #超时时间为十分钟

三、权限管理

1、初始化文件权限

vim /etc/profile   #修改为027

 #文件夹默认权限777，文件默认666，减去umask值

2、限制能够su为root的用户

vim /etc/pam.d/su

这样，只有wheel组的用户可以su到root

操作样例：

 其他用户就速发su到root即使密码正确

usermod -G10 zhangsan          #将zhangsan用户加入到wheel组

gpasswd -d zhangsan wheel     #将zhangsan移除whell组

groups zhangsan                     #查看zhangsan在哪个组

3、控制sudo权限，确保只有root用户才拥有

vim /etc/sudoers      

四、日志配置

1、日志文件：

/var/log/lastlog                 #最后一次用户成功登陆的信息，时间、登陆IP等。

/var/log/messages         #常见的系统和服务错误信息。
/var/log/secure          #Linux系统安全日志，记录用户和工作组变换情况，用户登陆认证情况
/var/log/syslog                        #只记录警告信息，lastlog查看。
/var/log/cron               #记录定时任务的信息。
/var/log/btmp        #记录Linux登陆失败的信息，lastb查看.
/var/log/wtmp   #该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件，last查看

2、syslog服务是否启用，查看配置

ps -aef | grep syslog

五、服务安全

1、SSH服务

vim /etc/ssh/sshd_config   #修改常用的22号端口

2、限制能够SSH登录的用户，禁止root远程登录

vim /etc/ssh/sshd_config     

 PermitRootLogin no    #禁止root远程登录

Allowusers zhangsan  #开通需要远程登录的用户

3、屏蔽banner信息

vim /etc/ssh/sshd_config       #修改配置文件  

 也可以修改/etc/motd 文件内容，其内容作为banner信息显示给登录用户

比如，如果你想给连接的用户显示其他内容。

自己做一个图，去警告远程登录的用户。

3、指定仅允许的IP登录

vim /etc/hosts.allow  #配置仅允许12.1来使用ssh连接

vim /etc/hosts.deny   #拒绝所有sshd的连接

六、其他配置

 1、开启防火墙

systemctl start iptables     #开启iptables

systemctl start firewalld    #开启firewalld

#并配置规则配合IDS来进行主动响应

2、部署IPS和IDS

①Suricata+iptables就可以实现IPS

②Wazuh中的action主动响应就可以进行主动响应