标签:系统安全 命令 用户 su 认证 学习 etc 应用 PAM
目录
账号安全基本措施
系统账号清理
●将非登录用户的ShelI设为/sbin/nologin
usermod -s /sbin/nologin
●锁定长期不使用的账号
usermod-L用户名
passwd-I用户名
passwd -S用户名
●删除无用的账号(userdel [-r])
●锁定账号文件passwd、shadow
chattr +i /etc/passwd /etc/shadow
Isattr /etc/passwd /etc/shadow 解锁文件并查看状态
chattr -i /etc/passwd /etc/shadow
■密码安全控制
●设置密码有效期
●要求用户下次登录时修改密码
账号安全基本措施
■命令历史限制
●减少记录的命令条数
●注销时自动清空命令历史
终端自动注销
●闲置600秒后自动注销
使用su命令切换用户
■用途及用法
●用途: Substitute User,切换用户
●格式su-目标用户
■密码验证
●root- >任意用户,不验证密码
●普通用户→其他用户,验证目标用户的密码
使用su命令切换用户
限制使用su命令的用户
●将允许使用su命令的用户加入wheel组
●启用pam_ wheel认证模块
使用su命令切换用户
限制使用su命令的用户
将允许使用su命令的用户加入wheel组
●启用pam_ _wheel认证模块
■查看su操作记录
●安全日志文件: /var/log/secure
Linux中的PAM安全认证
■su命令的安全隐患
●默认情况下,任何用户都允许使用su命令,有机会反复尝试其他用户(如root) 的登录密码,带来安全风险
●为了加强su命令的使用控制,可借助于PAM认证模块,只允许极个别用户使用su命令进行切换
■PAM(Pluggable Authentication Modules)可插拔式认证模块
●是一-种高效而且灵活便利的用户级别的认证方式
●也是当前L inux服务器普遍使用的认证方式
PAM认证原理
■- -般遵循的顺序;
◆Service (服务) - →PAM (配置文件) - →pam_ * .so
■首先要确定哪一项服务,然后加载相应的PAM的配置文
件(位于/etc/pam.d下),最后调用认证文件(位于
/lib64/security下)进行安全认证
■用户访问服务器时,服务器的某- -个服务程序把用户的
请求发送到PAM模块进行认证
■不同的应用程序所对应的PAM模块是不同的
PAM认证的构成
■查看某个程序是否支持PAM认证,可以用Is命令
示例:查看su是否支持PAM模块认证
Is /etc/pam.d | grep su
■查看su的PAM配置文件: cat /etc/pam.d/su
●每一行都是一一个独立的认证过程
●每一行可以区分为三个字段
◆认证类型,
◆控制类型
◆PAM模块及其参数
PAM安全认证流程
■控制类型也称做Control Flags,
用于PAM验证类型的返回结果
1.required验证失败时仍然继续,但
返回Fail
2.requisite验证失败则立即结束整个
验证过程,返回Fail
3.sufficient验证成功则立即返回,不
再继续,否则忽略结果并继续
4.optional不用于验证,只显示信息
(通常用于session类型)
使用sudo机制提升权限
配置sudo授权
●visudo或者vi /etc/sudoers
●记录格式 用户 主机名列表 =命令程序列表
总结
主要学习学习系统安全及应用,需要掌握学习系统安全及应用的命令与原理
标签:系统安全,命令,用户,su,认证,学习,etc,应用,PAM 来源: https://blog.csdn.net/weixin_52588857/article/details/120346100
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。