当前位置：首页 > news >正文

linux加密安全和时间同步

news 2025/7/12 17:48:00

sudo实现授权
添加
vim /etc/sudoers
luo ALL=(root) /usr/bin/mount /deb/cdrom /mnt/

test ALL=(root:ALL) ALL 在所有主机上提权为root用户，可以执行所有命令
户"test"被授权以"root"用户身份在任意主机上执行任意命令

切换luo用户使用
sudo mount /dev/cdrom /mnt

%sudo ALL=(ALL:ALL) ALL
%sudo 表示该规则适用于sudo用户组中的所有成员。
ALL=(ALL:ALL) 表示可以在任何主机上，以任何用户身份来执行sudo命令。
第一个ALL表示允许sudo的用户在任何主机上执行命令。
(ALL:ALL) 表示用户可以以任何用户和组的身份来执行命令。
第二个ALL表示允许sudo的用户以任何命令。
总之，%sudo ALL=(ALL:ALL) ALL 允许sudo用户组中的任何成员在任何主机上使用sudo命令以任何用户和组的身份来执行任何命令

PAM认证

模块路径
ubuntu 路径 /usr/lib/x86_64-linux-gnu/security/
rocky /usr/lib64/security

/etc/pam.d/ 服务（比如sshd）调用模块的配置文件目录
ls /etc/security/ 复杂模块的专有配置文件目录

创建文件后用户不能登录
vi /etc/nologin
因为sshd服务启用了pam_nologin.so模块
vi /etc/pam.d/sshd
sshd:account required pam_nologin.so

资源限制模块
pam_limits.so

永久()limits配置文件
vim /etc/security/limits.conf

soft nofile 65535
hard nofile 65535
@monitor hard nofile 65535 @代表组

pgrep -u zabbix |wc -l 查看用户打开的进程数

ulimit  -a
real-time non-blocking time  (microseconds, -R) unlimited
core file size              (blocks, -c) 0
data seg size               (kbytes, -d) unlimited
scheduling priority                 (-e) 0
file size                   (blocks, -f) unlimited
pending signals                     (-i) 8440
max locked memory           (kbytes, -l) 284580
max memory size             (kbytes, -m) unlimited
open files                          (-n) 1024
pipe size                (512 bytes, -p) 8
POSIX message queues         (bytes, -q) 819200
real-time priority                  (-r) 0
stack size                  (kbytes, -s) 8192
cpu time                   (seconds, -t) unlimited
max user processes                  (-u) 8440
virtual memory              (kbytes, -v) unlimited
file locks                          (-x) unlimited`ulimit -a` 命令用于显示当前用户的资源限制，即操作系统对用户进程使用各种资源的限制。下面是对输出结果的解释：- `real-time non-blocking time (microseconds, -R)`: 实时非阻塞时间，表示在实时调度策略下进程的非阻塞时间限制，该值为 "unlimited" 表示没有限制。
- `core file size (blocks, -c)`: 核心文件大小限制，表示允许生成的核心转储文件的最大大小，0 表示禁止生成核心文件。
- `data seg size (kbytes, -d)`: 数据段大小限制，表示进程可以分配的数据段的最大大小，"unlimited" 表示没有限制。
- `scheduling priority (-e)`: 调度优先级，数值越低优先级越高。
- `file size (blocks, -f)`: 文件大小限制，表示进程可以创建的文件的最大大小，"unlimited" 表示没有限制。
- `pending signals (-i)`: 待处理的信号数量限制，表示进程队列中待处理的信号的最大数量。
- `max locked memory (kbytes, -l)`: 锁定内存的大小限制，表示进程可以锁定的最大内存大小。
- `max memory size (kbytes, -m)`: 最大内存大小限制，表示进程可以使用的最大内存大小，"unlimited" 表示没有限制。
- `open files (-n)`: 打开文件的数量限制，表示进程可以同时打开的文件数量上限。
- `pipe size (512 bytes, -p)`: 管道大小限制，表示管道缓冲区的最大字节数。
- `POSIX message queues (bytes, -q)`: POSIX消息队列大小限制，表示进程可以创建的POSIX消息队列的最大大小。
- `real-time priority (-r)`: 实时优先级，数值越低优先级越高。
- `stack size (kbytes, -s)`: 栈大小限制，表示进程栈的最大大小。
- `cpu time (seconds, -t)`: CPU时间限制，表示进程可以使用的最大CPU时间，"unlimited" 表示没有限制。
- `max user processes (-u)`: 最大用户进程数限制，表示用户可以同时运行的进程数量上限。
- `virtual memory (kbytes, -v)`: 虚拟内存大小限制，表示进程可以使用的最大虚拟内存大小，"unlimited" 表示没有限制。
- `file locks (-x)`: 文件锁数量限制，表示进程可以同时持有的文件锁的数量上限。注意，输出结果中的 "unlimited" 表示没有明确的限制，即对应的资源在系统中是无限的。其他数值表示该资源对应的限制值。

通过service 文件启动服务启动要限制还要在service文件中设置，只在limit.conf 中限制不生效

使用google MFA验证功能

ubuntu安装google-authenticator
apt install libpam-google-authenticator -y

rocky安装：ip 192.168.74.132
yum install -y google-authenticator

在这里插入图片描述

按y
服务google连接

修改ssh和模块配置

sed -i '1a\auth       required     pam_google_authenticator.so' /etc/pam.d/sshd
sed -i 's/.*ChallengeResponseAuthentication.*/ChallengeResponseAuthentication yes/' /etc/ssh/sshd_config#重启SSH服务
service sshd restart

其他机器测试ssh远程

root@server:/etc/security/limits.d# ssh 192.168.74.132
(root@192.168.74.132) Verification code: 
(root@192.168.74.132) Password: 
Activate the web console with: systemctl enable --now cockpit.socketLast failed login: Wed Oct 18 01:05:39 CST 2023 from 192.168.74.80 on ssh:notty
There were 2 failed login attempts since the last successful login.
Last login: Wed Oct 18 01:00:20 2023 from 192.168.74.1

在这里插入图片描述

时间同步

配置服务端

apt install chrony -y

vim /etc/chrony.conf
server   ntp.aliyun.com  iburst #iburst 加快同步速度
server   slb.time.edu.cm  iburst
allow 0.0.0.0/0   
#local stratum 10

systemctl restart chronyd.service

[root@rocky8 ~]# chronyc
chrony version 4.2
Copyright © 1997-2003, 2007, 2009-2021 Richard P. Curnow and others
chrony comes with ABSOLUTELY NO WARRANTY. This is free software, and
you are welcome to redistribute it under certain conditions. See the
GNU General Public License version 2 for details.

chronyc> sources -v

[root@rocky8 ~]# chronyc sources -v.-- Source mode  '^' = server, '=' = peer, '#' = local clock./ .- Source state '*' = current best, '+' = combined, '-' = not combined,
| /             'x' = may be in error, '~' = too variable, '?' = unusable.
||                                                 .- xxxx [ yyyy ] +/- zzzz
||      Reachability register (octal) -.           |  xxxx = adjusted offset,
||      Log2(Polling interval) --.      |          |  yyyy = measured offset,
||                                \     |          |  zzzz = estimated error.
||                                 |    |           \
MS Name/IP address         Stratum Poll Reach LastRx Last sample               
===============================================================================
^- 203.107.6.88                  2   6    17    19   -738us[  -11us] +/-   39ms
^* 120.25.115.20                 2   6    17    14   +408us[+1033us] +/- 6971us

配置客户端

安装chrony

修改配置文件，添加chrony服务器
server 192.168.74.132 MS Name/IP address         Stratum Poll Reach LastRx Last sample               
===============================================================================
^* 192.168.74.132                3   6   367    42  -6262us[-8180us] +/-   59ms

linux加密安全和时间同步

使用google MFA验证功能

时间同步

配置服务端

配置客户端

相关文章：

linux加密安全和时间同步

在Go中处理异常

rust 全局变量

使用Python的qrcode库生成二维码

MSQL系列(四) Mysql实战-索引分析Explain命令详解

FPGA软件【紫光】

饲料化肥经营商城小程序的作用是什么

AI系统ChatGPT源码+详细搭建部署教程+支持GPT4.0+支持ai绘画（Midjourney)/支持OpenAI GPT全模型+国内AI全模型

vue项目优雅降级，es6降为es5，适应低版本浏览器渲染

运放供电设计

vue2-org-tree 树型结构的使用

【计算机网络】（面试问题）路由器与交换机的比较

基于下垂控制的孤岛双机并联逆变器环流抑制模型(Simulink仿真实现）

第十九章文件操作

防火墙管理工具增强网络防火墙防御

34 机器学习（二）：数据准备|knn

企业工厂车间台式电脑经常有静电导致开不开机，如何彻底解决？

【数之道 05】走进神经网络模型、机器学习的世界

C现代方法（第7章）笔记——基本类型

ON DUPLICATE KEY UPDATE 导致自增ID跳跃式增长

JavaSec-RCE

SkyWalking 10.2.0 SWCK 配置过程

突破不可导策略的训练难题：零阶优化与强化学习的深度嵌合

Golang 面试经典题：map 的 key 可以是什么类型？哪些不可以？

Zustand 状态管理库：极简而强大的解决方案

基于uniapp+WebSocket实现聊天对话、消息监听、消息推送、聊天室等功能，多端兼容

Objective-C常用命名规范总结

2.Vue编写一个app

Matlab | matlab常用命令总结

leetcodeSQL解题：3564. 季节性销售分析