标签：系统安全 命令 pass 用户 etc 密码 应用 Linux PAM

账号安全控制

账号安全基本措施

  系统账号清理

• 将非登录用户的Shell设为/sbin/nologin
  usermod -s /sbin/nologin 用户名
• 锁定长期不使用的账号
  usermod -L 用户名        #锁定
  passwd   -l  用户名        #锁定
  passwd  -S 用户名        #查看
• 删除无用的账号
  userdel [-r] 用户名
• 锁定账号文件passwd、shadow
  chatter +i /etc/passwd /etc/shadow   #锁定文件             

   （设置了`i'属性的文件不能进行修改:你既不能删除它, 也不能给它重新命名,你不能对该文件创建链接, 而且也不能对该文件写入任何数据.
       只有超级用户可以设置或清除该属性.）

  lsattr /etc/passwd /etc/shadow          #查看状态
  chatter -i /etc/passwd /etc/shadow    #解锁文件

  密码安全控制

• 设置密码有效期 
  vi /etc/login.defs              #修改密码配置文件，适用于创建新用户
  

   

•  设置用户下次登入时修改密码
  chage -M 时间 用户

          chage命令用于密码实效管理，该是用来修改帐号和密码的有效期限。它可以修改账号和密码的有效期

  常用参数

• -d 指定密码最后修改日期
• -E 密码到期的日期，过了这天，此账号将不可用。0表示马.上过期，-1表示永不过期。
• -h 显示帮助信息并退出
• -i 密码过期后，锁定账号的天数
• -l 列出用户以及密码的有效期
• -m 密码可以更改的最小天数。为零代表任何时候都可以更改密码。
• -M 密码保持有效的最大天数。
• -W 密码过期前，提前收到警告信息的天数。

命令历史记录限制

• 减少记录的命令条数；
• 登录时自动清空命令历史 ；
• 系统默认保存1000条历史命令记录；
• history -c 命令只可以临时清除记录（其实所有的文件都还保存在.bash_history ），重启后记录还在。

对历史命令的数量进行限制

 vim /etc/profile                #修改配置文件

 export HISTSIZE=200    #修改命令历史记录最大为200 （全局）

 source /etc/profile           #刷新配置文件，立即生效

 

 

 

设置登录时自动清空命令历史

vim.bashrc                         #修改.bashrc配置文件（每次切换bash都执行）

或

vim /etc/profile                   #修改配置文件 （执行下次）

echo “” > ~/.bash_history

 

 

 

设置终端自动注销

vim /etc/profile                          #编辑文件  

 添加 export TMOUT=100        #时间单位为秒

 source /etc/profile                    #刷新全局此文件

 

使用su命令切换用户

用途和格式

• 用途：Substitute User，切换用户
• 格式：su - 目标用户（横杠“ - ”代表切换到目标用户的家目录）

密码验证

• root - - - >任意用户，不验证密码
• 普通用户- - - >其他用户，验证目标用户的密码
• 带 “ - ” 表示将使用目标用户的登录Shell

 pwd 和 whoami 都可以查看 当前用户

限制使用su命令的用户

• 将允许使用su命令的用户加入wheel组中；
• 启用pam_wheel 认证模块

  gpasswd -a zhangsan wheel                       # 添加成员到组

  vim /etc/pam.d/su                                        #编辑

   auth required pam_whell.so use_uid          # 注销此行

 

Linux中的PAM安全认证

su命令的安全隐患

默认情况下，任何用户都允许使用su命令，有机会反复尝试其他用户(如root) 的登录密码，带来安全风险；
为了加强su命令的使用控制，可借助于PAM认证模块,只允许极个别用户使用su命令进行切换。

PAM(Pluggable Authentication Modules)可插拔式认证模块

• 是一种高效而且灵活便利的用户级别的认证方式；
• 也是当前Linux服务器普遍使用的认证方式。

PAM认证原理:

• PAM认证一般遵循的顺序: Service (服务) --> PAM (配置文件) --> pam_*.so;，
• PAM认证首先要确定哪一项应用服务，然后加载相应的PAM的配置文件(位于/etc/pam.d下)，最后调用认证模块(位于/lib64/security/下）进行安全认证。
• 用户访问服务器的时候，服务器的某一个服务程序把用户的请求发送到PAM模块进行认证。不同的应用程序所对应的PAM模块也是不同的。
• 如果想查看某个程序是否支持PAM认证，可以用ls命令进行查看/etc/pam.d/。
• PAM的配置文件中的每一行都是一个独立的认证过程，它们按从上往下的顺序依次由PAM模块调用.

		用户1	用户2	用户3	用户4
required	模块1	pass	fail	pass	pass
sufficient	模块2	pass	pass	fail	pass
required	模块3	pass	pass	pass	fail
	结果	pass	fail	pass	pass

 

 

 

 

 

 

 

使用sudo机制提升权限

 sudo命令的用途及用法

• 用途 ：以其他用户身份（如root执行授权的命令）
• 用法：sudo 权限命令

配置sudo授权

• visudo或者vi /etc/sudoers（此文件没有写的权限，保存时必须 wq！强制执行操作）
•  记录格式：用户 主机名=命令程序列表
• 可以使用通配符“ * ”表示任意值和“ ！”表示进行取反操作。
•  权限生效后，有5分钟的闲置时间，超过5分钟没有操作则需要再输入密码。

语法格式

用户 主机名=命令程序列表

用户 主机名=（用户） 命令程序列表

• 用户: 直接授权指定的用户名，或采用“&组名"的形式(授权一个组的所有用户)。
• 主机名:使用此规则的主机名。没配置过主机名时可用localhost，有配过主机名则用实际的主机名，ALL则代表所有主机。
• (用户):用户能够以何种身份来执行命令。此项可省略，缺省时以root用户的身份来运行命令。
• 命令程序列表:允许授权的用户通过sudo方式执行的特权命令，需填写命令程序的完整路径，多个命令之间以逗号“,"进行分隔。ALL则代表系统中的所有命令
• 执行调用格式为（用户名    网络中的主机=（执行命令的目标用户）    执行的命令范围）

启用sudo操作日志

• 需启用Defaults logfile配置
• 默认日志文件：/var/log/sudo
• 操作：在/etc/sudoers末尾添加Defaults logfile="/var/log/sudo"

 

标签：系统安全,命令,pass,用户,etc,密码,应用,Linux,PAM
来源： https://www.cnblogs.com/zhouruan/p/14931970.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。