Chinese (中文) – Page 6

July 18, 2022September 7, 2022

[步骤] audit 的设置（日志保存时间）

方法一：通过 audit 配置文件设置

1.1 设置 audit 日志的保存时间

# vim /etc/audit/auditd.conf

确保部分内容如下：

......
local_events = yes
......
write_logs = yes
......
log_file = /var/log/audit/audit.log
......
max_log_file = 8
......
num_logs =5
......
max_log_file_action = ROTATE
......

（
补充：这里以
1) 开启 audit 日志（local_events = yes）（write_logs = yes）
2) 将 audit 日志写入 /var/log/audit/audit.log 文件（log_file = /var/log/audit/audit.log）
3) audit 日志每达到 8M 大小就将旧的 audit 日志进行备份并创建新的 audit 日志（max_log_file = 8）（max_log_file_action = ROTATE），也可以修改成： max_log_file_action = keep_logs
4) 旧的 audit 日志保存 5 份（num_logs =5）
为例
）

1.2 让设置的 audit 时间生效

# service auditd restart

方法二：通过 logrotate 配置文件设置

2.1 设置 audit 日志的保存时间

# vim /etc/logrotate.d/auditd

创建以下内容：

/var/log/audit/*
{
rotate 30
daily
missingok
compress
delaycompress
postrotate
touch /var/log/audit/audit.log ||:
chmod 0600 /var/log/audit/audit.log ||:
service auditd restart
endscript
}

（
补充：这里以：
1) 备份的日志文件保留 30 份（rotate 30）
2) 每天将现在的日志文件进行备份并生成新的日志文件（dayly）
）

2.2 让设置的 audit 时间生效

# systemctl restart logrotate.service

July 17, 2022August 31, 2022

[步骤] Linux 密码的安全（本地和 SSH 输错密码次数的限制）（pam_tally2.so 版）（CentOS Linux 7 & RHEL 7 版）

正文：

步骤一：让 sshd 使用可插入身份验证模块

1.1 修改 sshd 的配置文件

# vim /etc/ssh/sshd_config

将以下内容：

......
#UsePAM no
......

修改为：

......
UsePAM yes
......

1.2 让修改的 sshd 配置文件生效

# systemctl restart sshd

步骤二：让本地登录和 sshd 登录使用密码认证

2.1 确认 /etc/pam.d/login 配置文件

# cat /etc/pam.d/login | grep system-auth

确保包含以下内容：

auth       substack     system-auth
account    include      system-auth
password   include      system-auth
session    include      system-auth

2.2 确认 /etc/pam.d/sshd 配置文件

# cat /etc/pam.d/sshd | grep password-auth

确保包含以下内容：

auth       substack     password-auth
account    include      password-auth
password   include      password-auth
session    include      password-auth

步骤三：在 /etc/pam.d/system-auth-ac 配置文件中添加 pam_tally2.so 模块和相关参数

# vim /etc/pam.d/system-auth-ac

添加以下内容：

......
auth required pam_tally2.so onerr=fail audit silent deny=15 unlock_time=3000 even_deny_root root_unlock_time=3000

（
补充：
1) 这里的 pam_tally2.so 代表使用 pam_tally2.so 模块
2) 这里的 silent 代表不会显示信息性的消息
3) 这里的 deny=15 代表输错 15 次后会禁止登录
4) 这里的 unlock_time=3000 代表禁止登录后 3000 毫秒后可以重新登录
5) 这里的 even_deny_root 代表 root 用户和其它用户一样会被锁住
6) 这里的 root_unlock_time=3000 代表禁止 root 用户登录后 3000 毫秒后可以重新登录
）

步骤四：在 /etc/pam.d/password-auth-ac 配置文件中添加 pam_tally2.so 模块和相关参数

# vim /etc/pam.d/password-auth-ac

添加以下内容：

......
auth required pam_tally2.so onerr=fail audit silent deny=15 unlock_time=3000 even_deny_root root_unlock_time=3000

步骤五：部分用户输错密码次数限制的排除

5.1 在 /etc/pam.d/system-auth-ac 配置文件中添加 pam_succeed_if.so 模块和相关参数

# vim /etc/pam.d/system-auth-ac

在此行：

......
auth required pam_tally2.so onerr=fail audit silent deny=15 unlock_time=3000 even_deny_root root_unlock_time=3000

下面添加：

......
auth [success=1 default=ignore] pam_succeed_if.so user in mingyuzhu1:mingyuzhu2:mingyuzhu3

（补充：这里以排除用户 zhumingyu1、zhumingyu2 和 zhumingyu3 的输错密码次数限制为例）

5.2 在 /etc/pam.d/password-auth-ac 配置文件中添加 pam_succeed_if.so 模块和相关参数

# vim /etc/pam.d/password-auth-ac

在此行：

......
auth required pam_tally2.so onerr=fail audit silent deny=15 unlock_time=3000 even_deny_root root_unlock_time=3000

下面添加：

......
auth [success=1 default=ignore] pam_succeed_if.so user in mingyuzhu1:mingyuzhu2:mingyuzhu3

（补充：这里以排除用户 zhumingyu1、zhumingyu2 和 zhumingyu3 的输错密码次数限制为例）

参考文献：

https://access.redhat.com/solutions/62949

July 15, 2022July 15, 2022

[命令] Linux 命令 uname （显示系统信息）

内容一：uname 命令的格式

# uname <option>

内容二：uname 命令的选项

1) -a 或者 –all，显示所有系统信息

（补充：如果系统处理器类型和系统硬件平台处于未知状态则不显示）

2) -s 或者 –kernel-name，显示系统内核
3) -n 或者 –nodename，显示系统节点名称
4) -r 或者 –kernel-release，显示系统内核发布版本
5) -m 或者 –machine，显示系统硬件名称
6) -p 或者 –processor，显示系统处理器类型
7) -i 或者 –hardware-platform，显示系统硬件平台
8) –help，显示帮助信息
9) –version，显示 uname 命令版本

July 15, 2022August 15, 2022

[排错] 解决 Linux 普通用户执行 ping 命令时报错 “ping: socket: Address family not supported by protocol” 或者 “Error: ping: socket: Operation not permitted”

解决方法一：修改 net.ipv4.ping_group_range 参数

1.1 确认文件功能没有参数

# getcap /usr/bin/ping

（补充：确认没有输出结果）

1.2 修改 net.ipv4.ping_group_range 参数

# sysctl net.ipv4.ping_group_range="0 2147483647"

解决方法二：设置文件功能参数

2.1 设置文件功能参数

# setcap cap_net_raw+eip /usr/bin/ping

2.2 确认文件功能参数已经设置

# getcap /usr/bin/ping
/usr/bin/ping = cap_net_raw+eip

July 15, 2022July 15, 2022

[步骤] Linux 非 root 用户 ping 命令使用的禁止和允许

步骤一：禁止非 root 用户使用 ping

#  sysctl net.ipv4.ping_group_range="1 0"

步骤二：允许非 root 用户使用 ping

# sysctl net.ipv4.ping_group_range="0 2147483647"

补充：当禁止禁止非 root 用户使用 ping 时，非 root 用户使用 ping 命令的报错

如果是 Rocky Linux & RHEL：

ping: socket: Address family not supported by protocol

如果是 openSUSE & SLE：

Error: ping: socket: Operation not permitted