linux服务器安全配置实例（三）用户账户权限配置
在上一篇文章《linux服务器安全配置实例（二）sshd服务安全配置和优化》中介绍了我对ssh服务的一些常用的安全配置和性能优化。其实ssh服务是我们进入服务器的一扇大门，这扇大门是提供正常人使用钥匙打开后进屋的。而对于一些恶意的小伙伴，他们会使用一些非法的方式，比如走窗户、暴力开锁等去不经过我们的同意就进屋大肆破坏。走窗户：通过一些系统的0day漏洞或者第三方服务以及软件的漏洞溢出或者注入，在服务器中运行恶意的代码来得到登陆权限。暴力开锁：通过一些暴力破解软件，暴力破解我们的ssh服务、网站管理员密码等。 对于暴力开锁我们在对sshd服务器安全配置和优化中已经说明如何防范。对于走窗户、跳烟囱这样采用漏洞攻击的方式，我们最简单的方式就是及时修复漏洞，配置防火墙和杀毒软件等。当然在一些大型的企业、政府的办公环境下，网络安全是十分主要的，自然会加入更多的安全机制，如：入侵检测系统、安全网关、网闸、堡垒机等。其实无论我们如何配置或者加入无数安全机制，都是没有绝对的安全的。没有绝对安全这句话是在网络安全圈子内最流行的一句话。 漏洞的产生是防不胜防的，我们曾经依托于openssl去保护我们的信息传输过程中不被第三方嗅探到内容，但是万万没想到的心脏大出血漏洞出现了。我们曾经呐喊着linux服务器是最安全的（没错，因为linux操作系统用的人少，它的安全机制也确实十分完善），但是没有一点点防备的bash破壳漏洞出现了。当这些漏洞被挖掘出来，无论漏洞公布者是出于学术交流还是炫耀自己多么牛逼，那么当公布出来的那一刻就意味着成千上万的服务器造成严重的威胁。其实不公布才是最可怕的！所以我们无法预测漏洞合适会出现，也无法预计自己的服务器是否会被人利用。那么我们可以假设：我的服务器被攻陷后怎么办？ 其实在漏洞凌完成后，第二部就是拿到登陆服务器的权限。所以我们可以很确定的说，用户权限就是恶意攻击者的下一个目标。linux、unix操作系统的最高权限都是root，其uid为0。这个用户权限拥有至高无上的能力。所以恶意攻击者会用各种手段去获取root权限。获取root权限也常在安卓手机中使用，安卓操作系统也是linux的分支，所以当安卓root后手机将不会安全，任何进程都可以使用setuid()系统调用，设置自己进程拥有root权限，那么木马病毒也不例外了。所以完全杜绝使用root用户在服务器中启动任何服务，使用私有用户去启动进程，同时禁止root用户登录。也就是在恶意攻击者通过对服务进程漏洞攻击后，拿到的用户权限不是root，同时利用一些系统内核级的漏洞对root进行提权也是无法登录的。对私有用户的活动目录进行限制，提权操作也更是难上加难。下面详细说明一下账户权限和目录权限的配置。一、禁止root 禁止root登陆有2个地方可以配置，第一个在ssh服务中：PermitRootLogin no #禁止root用户登陆，降低远程登陆的用户权限。这一点在对sshd服务安全配置和优化已经说明了，具体配置可以点开链接查看。第二个就是在系统内使用su命令切换root用户了。其实这是一件挺麻烦的事情，我们知道对系统一些更改、安装软件、升级系统都需要root权限。那么为了安全我们需要禁用它，为了配置系统我们又要使用它，自相矛盾了。这里给出2种解决矛盾的方法：彻底禁用root登陆，使用sudo。root可以使用su切换，但是禁止远程登陆。这两种方法各有利弊，第一种完全可以杜绝root用户的使用，同时也很难对root提权。这里需要说明下sudo，sudo可以让普通用户拥有root用户的权限，例如在普通用户下使用sudo yum install namp就可以直接在非root用户的情况下安装namp端口扫描工具。可以使用sudo命令的用户需要在/etc/sudoers文件中进行一些配置。该配置文件的格式为： 用户或者组（组需要在组名前加%）主机=(用户)
执行的命令，如：root ALL=(ALL) ALL全句的意思是：授权根用户在所有计算机上以所有用户的身份运行所有文件。其实简单来说，我们可以在sudoers文件中配置哪些用户可以使用root权限执行哪些命令。 对于第一种方案，我们就是在禁用root以后通过sudo对系统进行一些修改，所以说sudo相当于拥有一定的root权限，因此sudo的权限也需要严格控制。这一点就有一些麻烦，通常建议为每个服务创建一个私有用户，倘若启动一些服务需要root权限，那么可以将需要root的命令配置到sudoers文件中。例如：为nginx创建了nginx私有用户，需要使用80端口，linux系统是不允许非root用户请求低端口的，一般有两种方案解决：1、创建使能2、在sudoers文件中配置如下：nginx ALL=(ALL) /usr/bin/nginx而对于日常巡检系统升级需要用到root权限的命令也可以为巡检用户进行配置，如：kid ALL=(ALL) yum -y upgrade第一种方案麻烦就麻烦在需要每个用户都进行配置，但是权限细分安全有保证。彻底禁用root登陆，当前用户为root下编辑/etc/shadow执行：vi /etc/shadow如果当前用户为非root下编辑/etc/shadow执行：sudo vi /etc/shadow需要注意如果sudo没有权限，请通过root用户配置sudoers。shadow文件保存了用户和密码等信息，每一列中间以:分割。列1
定义与这个 shadow 条目相关联的特殊用户帐户。列2 包含一个加密的密码。列3 自 1/1/1970 起，密码被修改的天数列4 密码将被允许修改之前的天数（0 表示“可在任何时间修改”）列5 系统将强制用户修改为新密码之前的天数（1 表示“永远都不能修改”）列6 密码过期之前，用户将被警告过期的天数（-1 表示“没有警告”）列7 密码过期之后，系统自动禁用帐户的天数（-1 表示“永远不会禁用”）列8 该帐户被禁用的天数（-1 表示“该帐户被启用”）列9 保留供将来使用在root用户的第二列之前加入!!，表示禁言该用户。对shadow文件编辑完成后保存退出。 编辑/etc/passwd，执行sudo vi /etc/passwd passwd文件保存了用户账户的基本信息，每一列中间以:分割。列1
用户名，用户名在系统中是唯一的。列2
用户密码列，新版本的unix/linux系统密码已经转移到/etc/shadow中。列3 用户id（UID），UID是在系统中是唯一的，对于操作系统来说只认识UID，用户名是给用户看的。列4 组id（GID），GID是在系统中是唯一的，对于操作系统来说只认识GID，组名称是给用户看的。列5 用户全名，包含有关用户的一些信息，如用户的真实姓名、办公室地址、联系电话等。在Linux系统中，mail和finger等程序利用这些信息来标识系统的用户。 列6 用户home目录，该字段定义了个人用户的主目录，当用户登录后，他的Shell将把该目录作为用户的工作目录。列7 命令解释程序(Shell)，Shell是当用户登录系统时运行的程序名称，通常是一个Shell程序的全路径名， 如/bin/bash。 注意如果需要禁止用户登录可以把该列改为/sbin/nologin。根据上面的描述，可以将root用户的第七列改为/sbin/nologin，禁止root用户的登录。 二、创建私有用户 私有用户的意思是对每一个服务创建专用的用户来运行服务，比如nginx使用nginx用户运行，apache使用apache用户运行，mariadb使用mysql用户运行等。私有用户包含了私有用户和私有用户组，私有用户组是指组中只有一个用户，如nginx组为nginx的私有用户。为每一个服务创建一个私有用户好处在于，当对外提供的服务由于不可预知的漏洞，恶意攻击者对服务进行溢出攻击，溢出的恶意代码执行成功后恶意攻击者拿到的用户权限也只是服务的私有用户，由于私有用户的权限非常低，所以减小了系统以及应用暴露的范围。使得危险可控。 对于服务，我们使用UID为100-999之间任意一个未被使用的UID，UID 1~99是保留给其它预定义用户的，UID 100~999是保留给系统用户的。而GID由于是私有组，建议与用户UID相同。 创建私有用户和普通用户一样，与普通用户区别在于：针对服务UID在999以内，普通用户UID在999以后。活动空间一般只在应用服务的安装路径，普通用户活动空间在/home下。针对服务的私有用户只用于启动服务，禁止登陆，普通用户一般用于登陆。使用groupadd创建组，-g参数指定组ID，即GIDsudo groupadd
-g 49 nginx使用useradd创建用户，-g参数指定GID，-u参数指定UID，-d参数指定用户的home目录，-s参数指定用户的shell程序，由于服务私有用户不需要远程登录，所以配置为/sbin/nologinsudo useradd -g 49 -u 49 -d /srv/nginx -s /sbin/nologin nginx三、设置私有用户活动权限对于服务的私有用户，需要对其目录访问权限进行一些设定，防止应用服务被渗透后，恶意攻击者在服务器中使用已有的权限乱搞。同时需要说明一下如何使用私有用户启动服务。需要注意的是，每个针对服务的私有用户权限配置都不同，但是基本配置方式都差不多，都是有规律可循的。首先我们需要确定应用服务的基本，即需要什么？变动什么？不变动什么？ 需要什么？应用服务最基本提供的是用户的交互请求、数据存储和计算。所以可以看出应用服务需要提供端口来保证用户的请求，而对于数据存储需要提供存储空间。对于web容器我们需要一个合理的端口，大多为80。对于数据库和缓存我们需要一个合理的存储空间，这个空间大多与服务器操系统盘分开，以外挂数据盘的方式存在，当然数据库和缓存服务也需要端口。 变动什么？服务应用程序在运行时间必然会产生临时文件和日志，临时文件我们大多保存在/tmp下，对于日志有很多种：syslog，大多在/var/log/message中程序自己的日志空间写入数据库，mongodb、mysql等标准输出不变动什么？应用服务的配置文件、库文件和可执行文件大多是不变的。在大多情况下，一个应用服务配置完成后启动对外服务，基本是不变的，但相对于库文件和可执行文件这种彻底不会变动的文件还算是可变。对于配置文件，与数据存储一样通常单独划分出来。所以可以看出，我们只要需要把每个服务的日志文件、存储数据的文件、端口权限、执行文件和库文件进行授权。而对于其他目录和端口是不允许访问的。这里使用nginx举例，我的nginx在服务器上的配置如下： 安装路径/srv/nginxnginx的配置文件路径/data/config/nginx_confignginx的日志和pid文件路径/data/var/nginxnginx的服务端口为80针对上面的配置需要对nginx用户进行授权，下面说一下具体如何授权。 在对每个目录进行授权之前，先确保这些目录父目录的所属用户和组都为root，同时保证父目录中的nginx目录是700的权限（当然最好父目录下的所有文件目录都是700），这样保证了nginx目录不被其他用户所访问。修改/srv的权限：sudo chown root:root /srv修改/srv/nginx的权限：sudo chown -R nginx:nginx /srv/nginxsudo chmod 700 /srv/nginx修改/data/和/data/config的权限sudo chown root:root /datasudo chown root:root /data/config修改/data/config/nginx_config的权限sudo chown -R nginx:nginx /data/config/nginx_configsudo chmod 700 /data/config/nginx_config修改/data/var/的权限sudo chown root:root /data/var修改/data/var/nginx的权限sudo chown -R nginx:nginx /data/var/nginxsudo chmod 700 /data/var/nginx文件权限已经修改好了，接下来需要配置nginx能够使用80端口。之前说过可以使用sudoers文件给nginx用户root权限，还有一个方式就是让nginx的启动文件/srv/nginx/sbin/nginx进行使能操作。使能顾名思义，使其拥有一定能力，这里使能是请求低端口使能。 内核2.1以后使用sudo setcap cap_net_bind_service=eip
/srv/nginx/sbin/nginx进行使能操作。接下来再在nginx的配置文件nginx.conf中加入user nginx来配置nginx使用nginx这个用户运行。四、删除没用的用户 linux系统中有很多没用的用户，这些用户可以直接删除掉不影响系统。系统内存在没用的用户可能会被恶意入侵者提权利用，存在很大的安全隐患。同样有一些没用的组也可以删除掉。 删除用户使用userdel命令：sudo userdel adm删除用户组使用groupdel命令：sudo groupdel adm注意组中可能存在多个用户，同时组内存在用户的话系统是不让删除的，一般没用的用户组内的用户也大多是没用的，所以可以把组内用户全部删除掉再删除组。 下面列出可删除的用户： adm、lp、sync、shutdown、halt、news、uucp、operator、games、gopher 下面列出可删除的用户组： adm、lp、news、uucp、games、dip、ppusers、popusers、slipusers用户账户权限配置做到这些就已经可以了，配置用户权限是个细致的活，尤其在不同用户活动空间和执行命令上配置需要谨慎，稍有遗漏都有可能会被恶意攻击者利用。通常我们会采用编写脚本方式对这些进行配置，在我写的linux服务器安全配置实例系列最后一章会详细介绍每一章的脚本如何编写。
最新教程周点击榜
微信扫一扫功夫熊猫3手游烧饼修改器下载|功夫熊猫3手游烧饼修改 安卓版_5577我机网
你的位置：
→ 功夫熊猫3手游烧饼修改
功夫熊猫3手游烧饼修改
大家都在看
大小：289.3M
推荐等级：
语言：中文
更新时间：
适用：Android 2.3 及以上
使用下载到手机
各位功夫熊猫3手游的朋友，大家有福了，我机小编特意给大家带来功夫熊猫3手游烧饼修改福利方便大家愉快游戏，有需求的朋友赶快前来下载体验吧！精彩不容错过哦！【修改内容】游戏版本为辅助修改，首先你需要下载本站提供功夫熊猫3手游客户端，然后通过烧饼修改器来辅助修改，无限点券和金币等你使用！小编亲测该破解版可用！【功夫熊猫3手游烧饼修改辅助教程】1、首先我们需要用到的是烧饼修改器和功夫熊猫3手游客户端。
类别： 破解修改 &&&
大小：289.3M
语言： 中文
更新： 1-14
类别： .刷机.破解工具 &&&
大小：1.9M
语言： 中文
更新： 9-10
2、这时候我们运行自己手机中的烧饼修改器,然后点击最小化,退出烧饼修改器。然后进入功夫熊猫3手游这款游戏中去。&3、现在我们打开出现之后不管它数值多少,注意不要再继续游戏了,出现第2次一样的直接再次打开烧饼,选择无变化,出现要修改的数值,这时候我们不要去修改,缩小你的烧饼,继续游戏！无限点券和金币等你使用！【小编点评】周董给我带来的功夫熊猫3手游让小编越听越喜欢，于是尝试了下该款游戏，经典动漫电影通过为你完美展现，全新的游戏玩法内容，滚碾，浮砸，震屏等独具特色的格斗元素，酷炫的打击感，游戏加入了多样化的关卡挑战，破解版让你战斗更加精彩！你还等什么？【小编点评】周董给我带来的功夫熊猫3手游让小编越听越喜欢，于是尝试了下该款游戏，经典动漫电影通过手机游戏为你完美展现，全新的游戏玩法内容，滚碾，浮砸，震屏等独具特色的格斗元素，酷炫的打击感，游戏加入了多样化的关卡挑战，破解版让你战斗更加精彩！你还等什么？【游戏特色】不浮夸怎么出位滚碾，浮砸，震屏!花样ACT技能爽爆打击感官!还有各式必杀KO大招，虐怪姿势超激++++爽!不耐玩何来涨粉三角色切换上阵，战斗策略快感十足!不同闯关模式，不同应对妙计!越战越有玩味!不新鲜谁来围观各式花招玩法穿插闯关，指尖惊喜绝不无聊!躲滚石，砸笼救侠，新式打地鼠…好玩根本停不下!没颜值如何刷脸《功夫熊猫3》电影官方手游3.5头身设计，全新人物萌你一脸!画风活泼前卫，剧情诙谐脑洞大开!【玩法攻略】功夫熊猫3阿宝技能搭配我们先来看看我们的阿宝，阿宝属于我们的第一个可解锁英雄，阿宝的优势就是他皮厚，而且平A的第三下是一个重击，能打出不小的伤害，总体来说是我们贯彻整体的一个可用主角，建议长期升级，毕竟PK还是要靠着他打主场的呀~技能的话阿宝要带的是初始的棍法和八卦掌、旋风腿这三个技能，不推荐熊猫战车和泰山压顶，这两个技能伤害不高而且容易躲开，打不出什么伤害。配合携带的宠物的话建议选择攻击形的宠物，可以帮我们大范围的输出，毕竟阿宝算一个坦克英雄，不需要在携带一个坦克了，不然会造成输出不足从而被对手有机可乘~【游戏活动】首冲送翡翠刀活动范围：所有玩家首次充值任意金额，即可免费获得包含首充专属武器翡翠刀、大量金币及珍稀道具在内的超值大好礼！首次充值6元、488元、648元均可获得双倍返还。封测充值,双倍返还活动范围：仅限安卓“翡翠宫”玩家参与过安卓删档测试期间的玩家，公测进入安卓“翡翠宫”服务器后将获得删档测试期间所充值元宝的双倍返还，最高额外返还上限为30000元宝。所充值额度将计入已充值额度并对应发放VIP等级。月卡福利，多倍返还不封顶活动范围：所有玩家游戏内购买月卡后，按月可每天领取100元宝；购买尊享卡后，玩家可在游戏运营期间每日领取100元宝。【游戏评测】功夫熊猫3想必玩家也是期待已久了吧！不管是电影还是手游大家都对其翘首以盼吧！再加上周杰伦为期打造的好听主题曲，让小编着实心醉，特意附上这篇超赞评测，希望对可以帮助大家了解这款游戏！凭借着丰富的故事剧情、炫酷的打斗画面以及极具趣味的副本玩法，游戏获得众多玩家的极力推荐，赢得了行业内的认可。《功夫熊猫3》将于1月29日全球同步上映，黄磊、白百合、周杰伦等加入配音行列，鹿晗献唱推广曲！同时，电影手游齐齐发力2016春节档，为全国玩家献上开年大礼！戏未上映手游剧透 车轮战斩杀快感作为春节档电影《功夫熊猫3》唯一同名手游，手游CG剧情高度还原电影原著经典画面，让影迷在玩游戏之余可以重温剧情。同时，手游还加入了全新七日剧透玩法，为玩家提前爆剧情亮点，天煞全新大反派，美美、李山等全新角色更霸气登场，让大家先睹为快！同时，浮空、碎屏、KO斩杀、ACT等全方位的花样打击，配合在攻击、受击中专门设计的多种受击动作音效、光影特效，利用动作捕捉技术打造的精妙招式，玩家能真正体验到多层次的震撼战斗感官体验，战斗狂欢全面开启！游戏战斗体验更具策略性，在战斗中三角色各擅胜场，随时切换上阵，彻底告别“一个人战斗”！阿宝负责群攻输出，悍娇虎擅长单体爆击，师傅奇招控制更不能舍弃，车轮式的输出绝对能让玩家获得极致闯关体验。“趣味”范儿贯彻始终 风格如好莱坞卡通大片正如好莱坞卡通的西式样幽默范儿，《功夫熊猫3》玩法细节一一暴露了游戏”贪玩“本性。技能上，无论是阿宝拿出小板凳坐着冲上天砸向怪物，还是师傅呆萌地站在手杖上，远程击杀怪物，都透露出一丝滑稽趣味。同时， 为了让玩家能体验到不一样的的功夫熊猫世界，《功夫熊猫3》手游更首创了史无前例的多花样闯关玩法，除了潜入、守护、救人、擂台等花样玩法登场，并创新性在动作闯关中带来打地鼠、升降梯、木人冲锋、限时生存等多种趣味模式，拒绝无脑冲锋的重复战斗，让玩家娱乐刺激两不误。游戏的核心战斗，更充分体现了娱乐好玩的特征，怪物密集分布，搭配收割式招式，以及激爽数字UI反馈，类无双式样的痛快斩杀，让玩家零负担享受痛快放松！电影情节完美再现 全明星军团由你打造《功夫熊猫3》电影里，阿宝为了揭开自己的身世之谜，踏上了寻亲的冒险旅程。而《功夫熊猫3》手游拥有大量的剧情动画，高度还原的人物场景，游戏中所见到的丹墙翠瓦望玲珑的古朴民俗，优雅宁静的师傅屋宅，陡峭险峻的山峰等众多唯美的故事画面场景均一一还原出来，绝对能满足熊猫粉丝们的画面追求。在游戏中玩家能够化身阿宝，跟随师傅日夜习武，在山谷中恶斗大龙，为复仇勇战沈王爷，以代入感极强的方式经历神龙大侠的成长历程。更让粉丝们惊喜的是，《功夫熊猫》系列中的主要角色都将悉数登场。乌龟大师、大龙、沈王爷、犀牛大师、金猴等都将以伙伴的身份参加战斗，伙伴升星、技能强化、宠物修炼、属性进阶等养成内容更能让玩家培养出属于自己的强力神宠。神龙大侠阿宝是和乌龟大师一起出战，还是和大龙冰释前嫌携手，或者是联合盖世五侠都将由玩家决定，打造功夫全明星阵容不再是梦想！好了，关于本篇功夫熊猫3图文评测暂时就分享到这里了，希望对大家游戏有所帮助，更多精彩攻略尽在我机网，欢迎前来查阅！
查看全部内容
开发者应用
相关合集推荐
鄂ICP备号-18 相关软件 1.86G/中文/ 0KB/中文/ 10.0M/中文/ 8.3M/中文/ 186KB/中文/ 545KB/中文/ 12.6M/中文/ 5.3M/中文/ 287M/中文/ 8.7M/中文/顶好评:50%踩坏评:50请简要描述您遇到的错误，我们将尽快予以修正。轮坛转帖HTML方式轮坛转帖UBB方式
功夫熊猫器是利用当下最热门的辅助对游戏进行挂机辅助，而且本辅助器除了自动挂机战斗之外还能加速战斗时间，让你可以节省出更多时间做其他的副本活动哦。功夫熊猫辅助器特别说明：该辅助为安卓 ROOT插件，只适用于ROOT后的安卓设备。功夫熊猫辅助器功能预测：自动挂机加速；修改更多的元宝；功夫熊猫辅助器使用教程：一、更新叉叉助手至最新版本；二、打开叉叉助手，点击“更多”---“叉叉加速器”页面；三、该页面会显示设备上的所用应用，移动应用名字右侧的开关，可开启/关闭加速功能；四、移动“叉叉加速器”页面顶端的“加速已开启”按钮，可开启/关闭所有应用的加速功能；五、回到“我的游戏”界面，启动游戏，游戏界面内即可看到“叉叉加速器”设置浮窗，点击即可进行设置；六、点击“-”“+”调整数值，可减/加游戏速度，移动数值下端箭头，可选择更改个位/小数位数值变化，既粗调和微调；七、如不需使用，可依次点击“更多”―“叉叉加速器”，在“叉叉加速器”详情页面中点关闭即可。
功夫熊猫手游叉叉助手 2.0.3安卓版
下载帮助西西破解版软件均来自互联网, 如有侵犯您的版权, 请与我们联系。