GaGa

TCP Wrappers 是一种在 Linux 和其他类 Unix 系统上使用的安全工具，用于控制和限制对网络服务的访问。它最初由 Wietse Venema 开发，主要通过两个配置文件 /etc/hosts.allow 和 /etc/hosts.deny 来实现访问控制。TCP Wrappers 的作用是作为一个中间层，包裹在支持它的网络服务（如 SSH、Telnet、FTP 等）周围，以决定哪些客户端可以连接到这些服务。

1.工作原理

TCP Wrappers 通常与 inetd（Internet 超级服务器）或独立运行的支持 libwrap 的服务（如 sshd）配合使用。当有客户端尝试连接时，TCP Wrappers 会：

在 Linux 的 /etc/sudoers 文件中，User_Alias、Runas_Alias、Host_Alias 和 Cmnd_Alias 是用于定义别名的工具。通过这些别名，可以更方便地管理复杂的权限规则，提高配置的可读性和可维护性。

1. User_Alias（用户别名）

• 作用：定义一组用户的别名，方便在规则中引用。
• 语法：
  User_Alias 别名 = 用户1, 用户2, 用户3, …
• 说明：
  • 别名 是自定义的名称，通常使用大写字母。
  • 用户可以是用户名、用户组（用 %组名 表示）或另一个 User_Alias。
• 示例：
  User_Alias ADMINS = alice, bob, %wheel
  • 定义了一个名为 ADMINS 的别名，包括用户 alice、bob 和 wheel 组的所有成员。
  • 在规则中使用：
    ADMINS ALL=(ALL) ALL
    表示 alice、bob 和 wheel 组用户可以在任何主机上以任何身份运行所有命令。

在 Linux 的 /etc/sudoers 文件中，你提供的配置如下：

%wheel ALL=(ALL) NOPASSWD: /bin/date, /sbin/clock, /opt/nginx/sbin/nginx

这条配置定义了一组特定的 sudo 权限规则。下面逐步解释其含义：

在 Linux 中，sudo 的缓存凭证有效时间（即输入密码后无需再次输入密码的时间段）默认是 5 分钟。这个时间可以通过修改 sudo 的配置文件来调整。

1.修改方法

sudo 的缓存凭证时间由 /etc/sudoers 文件中的 timestamp_timeout 参数控制。以下是修改的具体操作：

在 Linux 中，OpenSSH 是一个广泛使用的开源 SSH 实现，提供了安全的远程登录和文件传输功能。

openssh相关包

1. openssh-clients

什么是 autossh？

autossh 是一个轻量级工具，用于增强 SSH 的可靠性。它通过监控 SSH 会话并在断开时自动重连，确保端口转发或远程连接保持可用。它的设计初衷是解决网络不稳定或服务器重启导致 SSH 连接中断的问题。

核心特点

• 自动重连：连接断开后自动尝试恢复。
• 支持 SSH 功能：包括本地、远程和动态端口转发。
• 后台运行：适合长时间任务。
• 资源占用低：对系统负担小。

在 Linux 中，SSH 端口转发是一种非常有用的技术，可以通过 SSH 连接将本地或远程的端口流量转发到指定目标。

SSH 端口转发的三种主要类型

1. 本地端口转发 (Local Port Forwarding)

将本地计算机的某个端口转发到远程服务器或远程服务器可访问的另一台机器。

sudo 是一个非常重要的命令，全称是 **”superuser do”**，意思是“以超级用户的身份执行”。它允许普通用户在需要时以更高的权限（通常是 root 权限）运行特定的命令或程序，而无需直接登录到 root 账户。这种机制既提高了系统的安全性，也方便了用户管理。

1.基本概念

• root 用户：Linux 中的超级用户，拥有系统所有权限。
• sudo 的作用：让普通用户在经过授权后，临时提升权限执行需要管理员权限的操作。
• 配置文件：sudo 的权限控制主要通过 /etc/sudoers /etc/sudoers.d/xxx 文件配置，管理员可以在这里指定哪些用户或用户组可以使用 sudo，以及他们可以运行哪些命令。

包

pssh（Parallel SSH）是一款用于在多台服务器上并行执行命令的工具，特别适用于需要远程管理多台机器的场景。它比普通的 ssh 更高效，尤其是批量操作时。

1.安装

在 Linux 系统（如 Ubuntu、CentOS）上，使用以下命令安装：

Ubuntu/Debian：

在 Linux 系统中，aide（Advanced Intrusion Detection Environment）是一个用于文件完整性检查的开源工具。它可以帮助系统管理员检测文件系统中的未经授权的更改，例如文件内容、权限、所有者或时间戳的修改。aide 通过创建一个文件系统的基线数据库（类似于指纹），然后定期与当前文件系统状态进行比较，来发现潜在的安全问题或入侵行为。

AIDE

pam_nologin.so 是 Linux PAM（Pluggable Authentication Modules）框架中的一个模块，用于根据系统状态限制用户登录。它主要通过检查 /etc/nologin 文件是否存在来决定是否允许用户（通常是非 root 用户）登录。如果该文件存在，模块会阻止登录并显示文件中定义的消息，通常用于系统维护或关闭期间限制访问。

功能

• 限制登录：当 /etc/nologin 文件存在时，阻止普通用户登录。
• **仅允许 root**：默认情况下，root 用户可以绕过此限制，继续登录。
• 自定义消息：如果 /etc/nologin 文件包含文本，登录被拒绝时会显示该文本作为提示。

pam_securetty.so 是 Linux PAM（Pluggable Authentication Modules）框架中的一个模块，主要用于限制 root 用户只能从指定的“安全终端”（secure tty）登录。它通过检查登录请求的终端设备是否在 /etc/securetty 文件中列出，来决定是否允许 root 用户登录。这种机制最初设计是为了增强系统安全性，防止 root 从不安全的终端（如远程网络连接）直接登录。

功能

• 限制 root 登录终端：pam_securetty.so 检查当前登录请求的终端设备（tty）是否被认为是“安全的”。
• 依赖 /etc/securetty 文件：该文件列出了允许 root 登录的终端设备名称（如 tty1、pts/0）。
• **仅影响 root**：通常只对 UID 为 0 的用户（即 root）生效，对普通用户无限制。