频道栏目
首页 > 网络 > 其他 > 正文

Linux系统安全及应用—账号安全控制(九)-一拳超人-51CTO博客

2019-08-27 16:33:12           
收藏   我要投稿

Linux系统安全及应用我将分三部分来讲解理论跟实践相结合,此文先带大家了解一下账号安全控制!!!

(一)基本安全措施

用户账号是计算机使用者的身份凭证或标识,每个要访问系统资源的人,必须凭借其用 户账号才能进入计算机。在 Linux 系统中,提供了多种机制来确保用户账号的正当、安全使 用。

1,系统账号清理

    将非登录用户的shell设为/sbin/nologin(vim /etc/passwd)

    锁定长期不使用的账号(passwd或者usermod)

    删除无用的账号(userdel)

    锁定账号文件passwd,shadow

    锁定文件并查看状态—chattr,lsattr

    [root@localhost?~]#?lsattr?/etc/passwd?/etc/shadow??查看状态
    ----------------?/etc/passwd
    ----------------?/etc/shadow
    [root@localhost?~]#?chattr?+i?/etc/passwd?/etc/shadow??锁定账号文件
    [root@localhost?~]#?lsattr?/etc/passwd?/etc/shadow??查看此时状态为i锁定状态
    ----i-----------?/etc/passwd
    ----i-----------?/etc/shadow
    [root@localhost?~]#?useradd?zhangsan???可以尝试添加一个用户
    useradd:无法打开?/etc/passwd
    [root@localhost?~]#?tail?-3?/etc/passwd???因为passwd文件锁定所以无法添加
    postfix:x:89:89::/var/spool/postfix:/sbin/nologin
    tcpdump:x:72:72::/:/sbin/nologin
    test1:x:1000:1000:test1:/home/test1:/bin/bash
    [root@localhost?~]#?chattr?-i?/etc/passwd?/etc/shadow???解锁账号文件

    微信截图_20190826172429.png

    2,密码安全控制

      设置密码有效期

      要求用户下次登录时修改密码

      设置密码有效期——适用于新建用户

      编辑配置文件/etc/login.defs

      [root@localhost?~]#?vim?/etc/login.defs??编辑配置文件信息

      微信截图_20190826172429.png

      微信截图_20190826185539.png

      微信截图_20190826185726.png

      设置密码的有效期——适用于已有用户

      [root@localhost?~]#?chage?-M?30?zhangsan??设置已有用户的密码有效期

      微信截图_20190826190305.png

      要求用户下次登录时修改密码(先用passwd把李四设置一个密码)

      [root@localhost?~]#?chage?-d?0?lisi???设置李四用户在下次登录时修改密码

      微信截图_20190826191326.png

      登录进去需要设置新的密码,先输入当前你设置的密码

      微信截图_20190826190951.png

      密码要符合不能过于简单,不能连续的字母和数字,有效密码例如:qwer1995

      微信截图_20190826191326.png

      3,命令历史限制

        减少记录的命令条数

        注销时自动清空命令历史

        设置你的系统命令历史限制(全局/etc/profile)

        [root@localhost?~]#?vim?/etc/profile??配置系统环境变量的配置文件

        微信截图_20190826193044.png

        微信截图_20190826193336.png

        注销时自动清空命令历史——设置用户的个人配置文件~/.bash_logout

        微信截图_20190826194137.png

        微信截图_20190826194308.png

        终端自动注销——限制600秒自动注销

        [root@localhost?~]#?vim?/etc/profile??配置系统环境变量的配置文件

        微信截图_20190826200341.png

        (二)用户切换与提权,PAM认证

        使用su命令切换用户

        用途及方法

          用途:切换用户

          格式:su - 目标用户

          密码验证

            root>任意用户,不验证密码

            普通用户>其他用户,验证目标用户的密码

            微信截图_20190827140416.png

            限制使用su命令的用户

              将允许使用su命令的用户加入wheel组(安全组)

              启用pam_wheel认证模块

              vim?/etc/pam.d/su?启用pam_wheel模块?修改他的配置文件

              微信截图_20190827140416.png

              这时在用zhangsna去切换管理员的账号就权限不够不能切换了

              微信截图_20190827141739.png

              我们用root用户将zhangsan用户加入到wheel组中,就又可以切换管理员了

              微信截图_20190827142442.png

              查看su操作记录

                安全日志文件:/var/log/secure

                su命令的安全隐患

                  默认情况下,任何用户都允许使用su命令,从而有机会反复尝试其他用户的登录密码,带来安全风险

                  为加强su的使用控制,可以借助PAM认证模块,只允许极个别用户使用su命令进行切换

                  PAM可插拔式认证模块,他是一种高效而且灵活便利的用户级别的认证方式,他也是当前Linux服务器普遍使用的认证方式

                    pam认证一般遵循的顺序:service>pam(配置文件)>pam_*.so

                    pam认证首先要确定哪一项服务,然后加载相应的pam配置文件(/etc/pam.d)下,最后调用认证文件(/lib/security)进行安全认证

                    用户访问服务器的时候,服务器的某一个服务程序把用户的请求发送到pam模块进行认证

                    不通的应用程序所对应的的pam模块也是不同的

                    查看某个程序是否支持pam认证,可用ls命令进行查看,例如查看su是否支持pam模块认证(ls /etc/pam.d | grep su)

                    查看su的pam配置文件:cat /etc/pam.d/su

                    每一行都是一个独立的认证过程

                    每一行可以区分为三个字段(认证类型,控制类型,pam模块及其参数)

                    PAM安全认证流程

                    微信截图_20190827142442.png

                    使用sudo机制提升权限

                    sudo的用途及用法

                      用途:以其他用户身份(如root)执行授权的命令

                      用法:sudo 授权命令

                      配置sudo授权

                        visudo或者vim /etc/sudoers

                        记录格式:用户 主机名列表+命令程序列表

                        我们没有配置授权的时候使用sudo修改网卡ip信息

                        微信截图_20190827142442.png

                        我们配置一下sudo授权

                        [root@localhost?~]#?visudo??配置授权信息

                        微信截图_20190827151455.png

                        这时我们就可以使用sudo修改网卡的ip地址了

                        微信截图_20190827151736.png

                        查看sudo操作记录

                          需启用Defaults logfile配置

                          默认日志文件:/var/log/sudo

                          使用visudo添加日志启用配置

                          微信截图_20190827151736.png

                          查看sudo操作过程的日志文件

                          微信截图_20190827151736.png

                          后两个部分在下一遍文章中体现

                          谢谢阅读!!!

相关TAG标签
上一篇:华为magicbook安装Ubuntu 16.04没有wifi问题解决办法-linux-51CTO博客
下一篇:xinetd超级守护进程 瞬态模式-mb5c89a741e350f的博客-51CTO博客
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站