目录
账号安全基本措施
系统账号清理
●将非登录用户的ShelI设为/sbin/nologin
usermod -s /sbin/nologin
●锁定长期不使用的账号
usermod-L用户名
passwd-I用户名
passwd -S用户名
●删除无用的账号(userdel [-r])
●锁定账号文件passwd、shadow
chattr +i /etc/passwd /etc/shadow
Isattr /etc/passwd /etc/shadow 解锁文件并查看状态
chattr -i /etc/passwd /etc/shadow
■密码安全控制
●设置密码有效期
●要求用户下次登录时修改密码
账号安全基本措施
■命令历史限制
●减少记录的命令条数
●注销时自动清空命令历史
终端自动注销
●闲置600秒后自动注销
使用su命令切换用户
■用途及用法
●用途: Substitute User,切换用户
●格式su-目标用户
■密码验证
●root- >任意用户,不验证密码
●普通用户→其他用户,验证目标用户的密码
使用su命令切换用户
限制使用su命令的用户
●将允许使用su命令的用户加入wheel组
●启用pam_ wheel认证模块
使用su命令切换用户
限制使用su命令的用户
将允许使用su命令的用户加入wheel组
●启用pam_ _wheel认证模块
■查看su操作记录
●安全日志文件: /var/log/secure
Linux中的PAM安全认证
■su命令的安全隐患
●默认情况下,任何用户都允许使用su命令,有机会反复尝试其他用户(如root) 的登录密码,带来安全风险
●为了加强su命令的使用控制,可借助于PAM认证模块,只允许极个别用户使用su命令进行切换
■PAM(Pluggable Authentication Modules)可插拔式认证模块
●是一-种高效而且灵活便利的用户级别的认证方式
●也是当前L inux服务器普遍使用的认证方式
PAM认证原理
■- -般遵循的顺序;
◆Service (服务) - →PAM (配置文件) - →pam_ * .so
■首先要确定哪一项服务,然后加载相应的PAM的配置文
件(位于/etc/pam.d下),最后调用认证文件(位于
/lib64/security下)进行安全认证
■用户访问服务器时,服务器的某- -个服务程序把用户的
请求发送到PAM模块进行认证
■不同的应用程序所对应的PAM模块是不同的
PAM认证的构成
■查看某个程序是否支持PAM认证,可以用Is命令
示例:查看su是否支持PAM模块认证
Is /etc/pam.d | grep su
■查看su的PAM配置文件: cat /etc/pam.d/su
●每一行都是一一个独立的认证过程
●每一行可以区分为三个字段
◆认证类型,
◆控制类型
◆PAM模块及其参数
PAM安全认证流程
■控制类型也称做Control Flags,
用于PAM验证类型的返回结果
1.required验证失败时仍然继续,但
返回Fail
2.requisite验证失败则立即结束整个
验证过程,返回Fail
3.sufficient验证成功则立即返回,不
再继续,否则忽略结果并继续
4.optional不用于验证,只显示信息
(通常用于session类型)
使用sudo机制提升权限
配置sudo授权
●visudo或者vi /etc/sudoers
●记录格式 用户 主机名列表 =命令程序列表
总结
主要学习学习系统安全及应用,需要掌握学习系统安全及应用的命令与原理