文章详细阐述了系统安全的重要性,涵盖了多个层面,包括信息安全、网络安全、应用程序安全等。重点讨论了账号安全,如锁定不必要的账号、密码管理以及设置登陆超时时间。此外,还介绍了PAM认证模块如何增强su命令的安全性,防止未经授权的用户切换账号,强调了wheel组的角色和权限控制。
系统安全重要性
系统安全对于个人或则企业来说是非常重要的
系统安全的类型
1. 信息安全:确保系统中的数据受到保护,防止信息泄露或盗窃。
2. 网络安全:保护计算机网络不受外部攻击和内部破坏。
3. 应用程序安全:确保软件和应用程序不受到漏洞、恶意代码和攻击。
4. 数据库安全:保护数据库中的数据不受非法访问、篡改或删除。
5. 操作系统安全:确保操作系统不受恶意软件、病毒和黑客攻击。
6. 物理安全:保护计算机系统和设备不受盗窃、灾害和恶意破坏。
7. 人员安全:确保系统的用户和管理员不会被欺诈、社交工程和非法访问等攻击。
账号安全的基本措施
系统账号安全控制
锁定不需要的账号
passwd ———————— passwd -l 用户名(锁定) -u(解锁)
usermod ———————— usermod - L 用户名(锁定) -u (解锁)
锁定不需要的账号
userdel -r 用户名 连家目录一起删除
锁定账号文件passwd 、shadow
chattr +i /etc/passwd
/etc/shadow 锁定文件,包括root也无法修改
chattr -i /etc/passwd
/etc/shadow 解锁文件
lsattr /etc/passwd lsattr /etc/shdow 查看文件状态属性
密码安全控制
设置密码有效期
每个账号都有规定的密码有效期。,每个账号根据权限不同有效期都不相同
密码控制是: 文本格式密码
密码的有效期:到了一定的时间点,强制用户修改密码,指纹登陆控制、生物控制、二维码技术控制
新用户修改,已有用户不在此范围
vim /etc/ login.defs
修改PASS_MAX_ DAYS来修改最长有效期
修改已有用户密码有效天数:
命令 选项 天数 用户名
例如:. chage -M 30 (用户名 )指定特定的用户的密码有效期,M后面跟的天数
强制用户下次登陆时,修改密码
chage -d 0 boge
vim /etc/shudom 直接改 不建议
对历史命令进行限制
清空历史命令,限制历史命令数量
临时清空历史记录方式
history -c
永久修改历史记录
vim /etc/profile 进入配置文件
搜索“HISTSIZE” HISTSIZE=1000(系统默认) 限制条数修改为50 (工作一般设置的数值)
保存退出后,刷新:source /etc/profile是文件立即生效
清除历史记录方法
退出终端清楚历史记录
“vim .bash_ logout
编辑: echo " " >~/ .bash_ logout
完成编辑,保存退出
开机后,清楚终端的历史记录
设置登陆超时时间
主要针对远程连接工具,释放资源防止阻塞
命令:
”vim /etc/profile
跳转只底行(最下面),进行编辑
底行添加: Tmout= 60(60秒内无操作,自动退出)
su命令
命令:
su - dd(用户名): 完全切换
su 用户 : 不完全切换(环境变量不变)
su 刷新 (在root用户下,可以刷新)
exit :退出当前登录用户
用户切换时的密码验证安全机制
- root>任意用户,不验证密码,(管理员切换普通用户不需要输入密码)
- 普通用户>其他用户,验证目标用户的密码(验证成功才能登陆)
使用su命令进行切换
为了方便,给一些类似管理员权限给普通用户这些用户只能在自己用户界面使用,不能随便切换到其他用户,
方式方法
允许将使用su命令的,加入到wheel组中
wheel组是什么
wheel组是一个特殊的组,主要用于控制用户的访问权限,加入wheel后,可以和root管理员一样使用一些敏感的命令(在一般情况下只有root用户才能访问,普通用户没有权限)
这些用户可以使用 sudo 命令以 root 用户身份执行这些命令或访问这些文件。
授予权限的原因:
管理员可能希望授权一些非特权用户执行特定的命令或访问某些文件,这时候就可以使用 wheel 组来实现
限制条件:sudu
可以和管理员一样执行root管理员命令,必须加入wheel组,
wheel组默认为空,是手动添加的,会进行限制只能使用特定的一些命令
命令切换:
“vim /etc/pam.d /su
进入编辑第六行: auth require pam_wheel.so use_uid
普通用户之间切换su 将会收到限制 ,除非加入wheel组,否则不能进行随意切换
例如:将”boge“加入wheel
gpasswd -a boge wheel
认证模块第6行取消注释(此行利用UID号来进行限制)
加入wheel后,无法随意切换,只能在自己的用户环境使用
PAM认证模块
原因:默认情况下,任何用户都允许使用su命令,有机会反复尝试其他用户 (如root) 的登录密码,带来安全风险,同时,为了加强su命令的使用控制,可借助于PAM认证模块只允许极个别用户使用su命令进行切换
原理:
PAM的作用:
提供一种标准的身份认证接口,管理员可以定制化配置各种认证方式,
PAM可插拔式认证模块
什么是可插拔: 即配即用,即删即失效(无需重启刷新)
机制:当打开之后———su这个命令进行验证和限制——用户随意切换账号——除非加入wheel否则不能进行账号切换
例如: su - boge gpasswd -a boge wheel
su ——root配置文件 ——su模块是否启动—— 用户UID在不在wheel组(不在不允许切换)——在的话,正常切换
PAM文件所在位置
最终认证文件所在: ls /lib64/security
所有认证模块所在:ls /etc/pam.d/
PAM可以分为: 认证模块、授权模块、模块的参数和配置项
认证模块中:
| 释义 | |
| auth | 用户身份 |
| account | 账户的有效性 |
| password | 用户修改密码时的机制校验 |
| session | 会话控制,控制最多打开的文件数,能开多少进程 |
第二列 授权模块
| 释义 | |
| required | 一票否决权,表示之认证成功才能进行下一步,但是如果认证失败,结果也不会立即通知用户,而是等所有的认证走完,才会给用户回馈 |
| requisite | 一票否决,只要返回失败,就会立刻通知反馈用户 |
| sufficient | 一票通过,如果返回成功,就不会再执行跟他相同模块内的认证,其他模块返回失败,也可以忽略 |
| optional | 可选项,可有可无 |
扫一扫
6273
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
