一.账号安全基本措施
1.系统账号清理
- 将非登录用户的shell设为**/sbin/nologin**
usermod -s /sbin/nologin 用户名
- 锁定长期不使用的账号
usermod -L 用户名
passwd -l 用户名
passwd -S 用户名
- 删除无用的账号
userdel 【-r】用户名
- 锁定账号文件passwd、shadow
chattr +i /etc/passwd /etc/shadow
lsattr /etc/passwd /etc/shadow(锁定文件并查看状态)
chattr -i /etc/passwd /etc/shadow(解锁)
md5sum /etc/password 校验和
2.密码安全控制
chage命令
2.1.常用选项
-m | 密码可更改的最小天数,为0时可代表任何时候 |
-M | 密码保持有效的最大天数 |
-w | 用户密码到期前,提前收到警告信息的天数 |
-E | 账号到期的日期 |
-d | 上一次更改的日期 |
-i | 停滞时期 如果一个密码已过期这些天,那么此账号将不可用 |
-l | 列出当前的设置 由非特权用户来确定他们的密码或账号何时过期 |
- 设置密码有效期
- 要求用户下次登录时修改密码
chage -M 天数 用户名 (针对已存在的用户,天数为 99999 表示为永不过期)
2.2.相关实操
vim /etc/login.defs --> PASS_MAX_DAYS 天数(针对新建的用户)
2.3.相关实操
chage -d 0 用户名(强制用户下一次登录修改密码)
3.命令历史限制
- 减少记录的命令条数
- 登录时自动情况命令历史
history(查看历史命令)
vim /etc/profile --> export HISTSIZE=XX --> source /etc/profile(限制历史命令数量)
history -c(临时清空历史命令)
vim /etc/profile --> > ~/.bash_history
3.1.相关实操
3.2.永久生效
4.终端自动注销
- 闲置600秒后自动注销
vim /etc/profile --> export TMOUT=XX --> source /etc/profile(自动注销)
- 开机永久清空历史命令
- 设置每60秒清空一次历史命令
二.系统引导和登录控制
1.使用su命令切换用户
1.1.用途及用法
用途:Substitiute User,切换用户
格式:
su -目标用户
1.2.密码验证
root→任意用户,不验证密码
普通用户→其他用户,验证目标用户的密码
相关实操
1.3.限制使用su命令的用户
- 将允许使用su命令的用户加入wheel组
gpasswd wheel -a 用户名
- 启用pam_wheel认证模块
vim /etc/pam.d/su -> 开启 auth required pam_wheel.so use_uid 的配置
相关实操
加入wheel组前
加入wheel组
加入wheel组后
1.4.ssh远程登录输入三次密码错误则锁定用户
vim /etc/pam.d/sshd
auth required pam_tally2.so deny=3 unlock_time=600 even_deny_root root_unlock_time=600
相关实操
2.Linux中的PAM安全认证
2.1.su命令的安全隐患
- 默认情况下,任何用户都允许使用su命令,有机会反复尝试其他用户(比如root)的登录密码,带来安全风险
- 为了加强su命令的使用控制,可借助于PAM认证模块,只允许极个别用户使用su命令进行切换
2.2.PAM(Pluggable Authentication Modules)可拔插式认证模块
- 是一种高效而且灵活便利的用户级别的认证方式
- 也是当前Linux服务器普遍使用的认证方式
2.3.PAM认证原理
- 一般遵循的顺序
service(服务)->PAM(配置文件)->pam_*.so
- 首先要确定哪一项服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib64/security下)进行安全认证
- 用户访问服务器时,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证
- 不同的应用程序所对应的PAM模块是不同的
2.4.PAM配置文件
PAM的配置文件中的每一行都是一个独立的认证过程,它们按从上到下的顺序依次由PAM模块调
用cat /etc/pam.d/system-auth
第一列代表PAM认证模块类型
**auth:**认证模块接口,如验证用户身份、检查密码是否可以通过,并设置用户凭据
**account:**账户模块接口,检查指定账户是否满足当前验证条件,如用户是否有权访问所请求的服
务,检查账户是否到期
**password:**密码模块接口,用于更改用户密码,以及强制使用强密码配置
**session:**会话模块接口,用于管理和配置用户会话。会话在用户成功认证之后启动生效
第二列代表PAM控制标记
**required:**模块结果必须成功才能继续认证,如果在此处测试失败,则继续测试引用在该模块接口
的下一个模块,直到所有的模块测试完成,才将结果通知给用户。
**requisite:**模块结果必须成功才能继续认证,如果在此处测试失败,则会立即将失败结果通知给用
户。
**sufficient:**模块结果如果测试失败,将被忽略。如果sufficient模块测试成功,并且之前的required
模块没有发生故障,PAM会向应用程序返回通过的结果,不会再调用堆栈中其他模块。
**optional:**该模块返回的通过/失败结果被忽略。一般不用于验证,只是显示信息(通常用于
session 类型)。
**include:**与其他控制标志不同,include与模块结果的处理方式无关。该标志用于直接引用其他
第三列代表PAM模块
默认是在/lib64/security/目录下,如果不在此默认路径下,要填写绝对路径。同一个模块,可以出
现在不同的模块类型中,它在不同的类型中所执行的操作都不相同,这是由于每个模块针对不同的
模块类型编制了不同的执行函数。
第四列代表PAM模块的参数
这个需要根据所使用的模块来添加。传递给模块的参数。参数可以有多个,之间用空格分隔开
查看某个程序是否支持PAM认证,可以用ls命令
示例:
查看su是否支持PAM模版认证
ls /etc/pam.d | grep su
相关实操
查看su的PAM配置文件
cat /etc/pam.d/su
相关实操
3.使用sudo机制提升权限
3.1.使用sudo
- 用途:以其他用户身份(比如root)执行授权的命令
- 用法:sudo授权命令
相关实操
新用户不在wheel组
在wheel组的用户
3.2.配置sudo
vi /etc/sudoers(此文件的默认权限为 440,保存退出时必须执行“:wq!”命令来强制操作)
用户 主机名=命令程序列表 //可以使用通配符*全部,!取反符号
别名创建
- User_Alias 大写别名=用户1,用户2,……
- Host_Alias 大写别名=主机名1,主机名2,……
- Cmnd_Alias 大写别名=程序1,程序2,……
相关实操
最后
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
技术停滞不前!**
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
[外链图片转存中…(img-1U4bFS6c-1715531183116)]
[外链图片转存中…(img-ymjyWrYH-1715531183116)]
[外链图片转存中…(img-J3PUokL2-1715531183117)]
[外链图片转存中…(img-p4J8cCFB-1715531183117)]
[外链图片转存中…(img-AMVXLz3a-1715531183117)]
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!