网站建设如何描述wordpress word图表

网站建设如何描述,wordpress word图表,网络营销的理论基础,信誉好的企业网站建设一、简介#xff1a;为什么要“折腾”账户安全#xff1f;MITRE ATTCK 矩阵把“Valid Accounts”列为 Top 1 入口#xff1a;2022 年 80% 勒索软件通过 弱口令/爆破 root 入场。合规要求#xff1a;等保 2.0 要求“默认账户管理、口令复杂度、权限最小化”。SOC2、ISO…一、简介为什么要“折腾”账户安全MITRE ATTCK矩阵把“Valid Accounts”列为 Top 1 入口2022 年 80% 勒索软件通过弱口令/爆破 root入场。合规要求等保 2.0 要求“默认账户管理、口令复杂度、权限最小化”。SOC2、ISO27001 审计首查sudoers与shadow配置。现实痛点开发图方便开PasswordAuthentication yes PermitRootLogin yes上线三天被爆破 2 万次。掌握“账户加固”低成本把 90% 脚本小子挡在门外是 Linux 运维、DevOps、云原生安全最划算的投入。二、核心概念6 个关键词先搞懂名词一句话说明本文操作文件rootUID0 超级用户可写任意文件/etc/passwd、/etc/ssh/sshd_configsudo授权普通用户以 root 身份执行指定命令/etc/sudoersPAMPluggable Authentication Modules管控密码/会话/etc/pam.d/{system-auth,password-auth}shadow保存哈希口令与过期策略/etc/shadowSSH 密钥非对称认证弃用口令~/.ssh/authorized_keysUID/GID用户/组 ID1000 为系统保留useradd -u 2023三、环境准备3 分钟拉起实验机系统CentOS Stream 9 / Debian 11内核 ≥5.10权限全程需 root建议云主机快照备份安装补充包# CentOS sudo dnf install -y policycoreutils-python-utils # Debian sudo apt install -y libpam-pwquality实验目录mkdir -p ~/security-lab cd ~/security-lab四、实际案例与步骤5 大关卡复制即运行每段脚本均可chmod x xxx.sh ./xxx.sh直接执行已加set -euo pipefail防呆。4.1 禁用 root 远程登录一键脚本场景防止爆破保留本地终端应急。文件/etc/ssh/sshd_config#!/usr/bin/env bash # file: 01-disable-root-sshd.sh set -euo pipefail CONF/etc/ssh/sshd_config cp $CONF ${CONF}.bak.$(date %F) # 1. 关闭 root 远程 sed -i s/^#PermitRootLogin.*/PermitRootLogin no/ $CONF sed -i s/^PermitRootLogin.*/PermitRootLogin no/ $CONF # 2. 关闭密码认证强制密钥 sed -i s/^#PasswordAuthentication.*/PasswordAuthentication no/ $CONF sed -i s/^PasswordAuthentication.*/PasswordAuthentication no/ $CONF # 3. 重启生效 systemctl restart sshd echo ✔ root 远程登录已禁用请确保普通用户密钥已部署验证ssh root127.0.0.1 # 预期Permission denied (publickey).4.2 密码复杂度策略PAM 一招搞定场景防止“123456/Qweasd”拖库。文件CentOS/etc/pam.d/system-authDebian/etc/pam.d/common-password#!/usr/bin/env bash # file: 02-password-policy.sh set -euo pipefail # CentOS Debian 通用模块 PWQUALITY/etc/security/pwquality.conf cp $PWQUALITY ${PWQUALITY}.bak cat $PWQUALITY EOF # 最小长度 12大小写数字特殊字符各 1 minlen 12 minclass 4 # 禁止与旧密码重复 3 次 maxrepeat 3 # 3 次失败锁定 300 秒faillock 见下节 EOF echo ✔ 密码策略已更新立即对新用户生效测试useradd testuser echo Test123456 | passwd testuser # 预期BAD PASSWORD: is too simple4.3 失败锁定 解锁faillock 模块场景防暴力爆破。文件/etc/pam.d/system-auth/common-auth#!/usr/bin/env bash # file: 03-faillock.sh set -euo pipefail # 1. 备份 cp /etc/pam.d/system-auth /etc/pam.d/system-auth.bak # 2. 插入 faillock 行CentOS 示例 sed -i /^auth.*pam_unix.so/a auth required pam_faillock.so preauth silent audit deny3 unlock_time300 /etc/pam.d/system-auth sed -i /^auth.*pam_unix.so/a auth [defaultdie] pam_faillock.so authfail audit deny3 unlock_time300 /etc/pam.d/system-auth # Debian 用 pam_tally2 或 pam_faillock同理 # 3. 查看/手动解锁 echo 查看锁定列表 faillock echo 解锁用户 testuser faillock --user testuser --reset4.4 最小化 sudo白名单机制场景开发只给systemctl restart nginx不给全 root。工具visudo#!/usr/bin/env bash # file: 04-sudo-whitelist.sh set -euo pipefail # 1. 创建运维组 groupadd -g 2023 ops # 2. 追加 sudoers使用 EDITORvi 避免语法错误 tee /etc/sudoers.d/ops EOF # 仅允许 ops 组用户执行指定命令 %ops ALL(root) NOPASSWD: /bin/systemctl restart nginx, /bin/systemctl status nginx, /bin/journalctl -u nginx EOF # 3. 把开发加入组 usermod -aG ops dev1 echo ✔ dev1 登录后执行sudo systemctl restart nginx验证su - dev1 sudo systemctl restart nginx # 成功 sudo reboot # 失败not allowed4.5 账户生命周期自动清理“幽灵”账号场景项目结束外包账户无人删除成为后门。策略90 天未登录即失效。#!/usr/bin/env bash # file: 05-user-audit.sh set -euo pipefail # 1. 列出最近 90 天未登录的普通用户UID≥1000 awk -F: $31000 $7 !~ /nologin|false/ {print $1} /etc/passwd | while read user; do lastlog -u $user | grep -q Never\|90 days echo Stale user: $user done stale-users.txt # 2. 批量失效人工复核后再执行 while read user; do chage -E0 $user # 立即过期 usermod -L $user # 锁定 done stale-users.txt建议把脚本加入月度 Cron输出邮件给安全团队。五、常见问题与解答FAQ问题现象解决visudo报syntax error手动改/etc/sudoers务必用visudo -c检查错误会无法 sudo设置PasswordAuthentication no后密钥也没法登录未上传公钥提前ssh-copy-id 普通用户保留一跳终端不退出验证faillock 不生效仍无限次尝试确认 PAM 行顺序faillock 必须放在 pam_unix 前锁定 root 自己root 被 faillock 锁用单用户模式或云平台 VNC 救援执行faillock --user root --reset外包拒绝过期业务说“还要用”走审批流延长9090 天留审计记录六、实践建议与最佳实践变更“三跳”原则改配置前 → 开第二终端跳板 → 验证成功再退出防止把自己锁死。配置即代码IaC把所有改动写成 Ansible playbookGit 版本管理回滚 1 秒完成。密钥先行密码后备强制ed25519密钥ssh-keygen -t ed25519 -C opscompany密码仅给应急且 12 位随机pwgen -sy 12 1sudo 审计开启log_outputDefaults log_output日志集中到 Graylog/ELK发现sudo bash立即告警。定期基线扫描用 Lynis 或 OpenSCAP 每周跑lynis audit system --profile custom.prf云上增强AWS 用 IAM Role Systems Manager弃用 SSH 密钥零密码。阿里云启用“安骑士”防暴力与 faillock 双保险。七、总结一张脑图带走全部要点账户安全加固 ├─ 远程root 禁止 / 密钥认证 / 修改端口 ├─ 密码PAM 复杂度 / 90 天过期 / faillock 3 次锁定 ├─ 权限sudo 白名单 / 日志审计 ├─ 清理幽灵账号 / 定期基线 └─ 文化配置即代码 双终端验证完成本文 5 个脚本你的服务器将减少 90% ssh 爆破流量满足等保/ISO 审计口令要求杜绝“离职员工账户还能登”尴尬把脚本纳入 GitLab CI每次上架新节点自动跑一遍——让“账户安全”从一次性救火变成可持续、可审计、可回滚的例行工程。祝你加固顺利远离“裸奔”