奶奶常说账号安全控制与PAM认证模块及sudo授权命令学不会不许睡觉(一)

最新推荐文章于 2024-04-28 11:17:20 发布
最新推荐文章于 2024-04-28 11:17:20 发布
阅读量743 收藏 3
点赞数 3
分类专栏: Linux 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DZYSHOW/article/details/119828313
版权

系统安全及应用

引言

一.账号安全基本措施

1.系统账号清理

①将非登录用户的Shell设为/sbin/nologin

usermod -s /sbin/nologin 用户名

②锁定长期不使用的账号

usermod -L 用户名           锁定用户账户  
passwd -l 用户名            锁定用户密码
passwd -S 用户名            查看用户状态

③删除无用的账号

userdel -r 用户名           删除用户及其宿主目录

④清空一个账号密码

passwd -d 用户名            清空账户密码

⑤锁定账号文件passwd、shadow

chattr +i /etc/passwd /etc/shadow      锁定文件
lsattr /etc/passwd /etc/shadow         查看文件状态
chattr -i /etc/passwd /etc/shadow      解锁文件

在这里插入图片描述得出结论,由于/etc/passwd和/etc/shadow都存放的用户账号信息,所以两个缺一不可,少一个都无法创建用户与更改密码

2.密码安全控制

chage -M 日期 用户               设置用户密码有效期
chage -E xxxx-xx-xx             设置过期日期

①chage -M适用于已有用户

在这里插入图片描述

②设置密码有效期

要求用户下次登陆时修改密码
适用于新建用户:
vi /etc/login.defs

vi /etc/login.defs     修改密码配置文件适用于新建用户
……
PASS_MAX_DAYS 30
[root@localhost ~]# chage -M 30 用户
[root@localhost ~]# cat /etc/shadow | grep 用户

在这里插入图片描述

③强制下次登陆更换密码

chage -d 0 用户                    强制在下次登陆时更改密码               
cat /etc/shadow | grep 用户        shadow文件中的第三个字段被修改为0

在这里插入图片描述

3.命令历史限制

①减少记录的命令条数
/etc/profile这个文件是系统全局变量配置文件,可以通过重启系统或者执行source /etc/profile命令使文件被读取重载。
在这里插入图片描述②登陆时自动清空历史命令
~/.bashrc文件中的命令会在每次打开新的bash shell时(也包括登录系统)被执行
在这里插入图片描述

4.终端自动注销

vi /etc/profile: 编辑全局变量配置文件
export TMOUT=360: 输出timeout=360
闲置360秒后自动注销:
在这里插入图片描述

最低0.47元/天 解锁文章
「已注销」
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pam_chroot.zip_linux pam _pam模块
09-14
Linux系统中,PAM(Pluggable Authentication Modules)是一个灵活的安全框架,它允许系统管理员根据需要选择不同的认证策略。PAM使得系统可以支持多种认证协议,如Shadow、NIS、Kerberos等,而无需修改核心代码。...
解决Ubuntu使用ROOT账户登录图形界面报错认证失败
D&T的博客
05-08 3610
如图, 默认 系统 root 登录 图形界面,出现 认证失败 开启方法 解决方案 第一步 登录普通用户使用sudosudo -i切换到root用户打开终端执行命令 #sudo passwd root 跟着命令提示,首先输入此账户的密码,再设定Root密码,确认Root密码 然后使用su命令配合刚刚设定的密码登录root账户(必须) 第二步 在终端中以文本模式修改配置文件,可使用vi/vim/...
/etc/pam.d/su内容详解
最新发布
weixin_53389944的博客
04-28 404
以下为系统默认配置。
PAM account management error: Permission denied
weixin_39833509的博客
08-06 2604
在一台server上做sudo 操作,出现错误PAM account management error: Permission denied。其中common-account配置使用的是pam_unix2.so模块。经发现此模块对于没有密码或者lock住的用户id无法通过认证。改用pam_unix.so, 此模块支持lock用户和空密码。更改完成后,重新 sudo 命令, 可以正常使用。其引用common-account配置文件。...
linux ssh pam认证失败,SSH 登录时出现如下错误:pam_listfile(sshd:auth): Refused user root for service sshd...
weixin_33148993的博客
05-12 1761
SSH 登录时出现如下错误:pam_listfile(sshd:auth): Refused user root for service sshd注意:本文相关 Linux 配置及说明已在 CentOS 6.5 64 位操作系统中进行过测试。其它类型及版本操作系统配置可能有所差异,具体情况请参阅相应操作系统官方文档。问题描述:登录 Linux 云主机时,即便输入了正确的密码,也无法正常登录。该问题...
Linux_PAM安全认证_sudo_安全控制
Wsxyi的博客
02-10 1843
PAM安全认证一.Linux中的PAM安全认证1.su命令的安全隐患2.PAM(Pluggable Authentication Modules)可插拔式认证模块二.PAM认证原理三. PAM认证得构成1.查看某个程序是否支持PAM认证,可以用Is命令2. 查看su的PAM配置文件: cat /etc/pam.d/su四. PAM安全认证流程 一.Linux中的PAM安全认证 Linux-PAM, 是linux可插拔认证模块,是一套可定制、可动态加载的共享库,使本地系统管理员可以随意选择程序的认证方式。PA
linux sudo命令详解
09-15
Linux系统中,`sudo`命令是一个至关重要的工具,它允许非特权用户以超级用户(root)或其他特定用户的权限运行命令。这为系统管理员提供了灵活的权限控制,同时减少了对root密码的依赖,增加了系统的安全性。本文...
pam_havebeenpwned:一个PAM模块,该模块利用IHaveBeenPwned API防止用户每次运行“ passwd”命令时都选择自带密码
02-06
PAM(Pluggable Authentication Modules)是一个灵活的认证系统,广泛应用于Linux和Unix操作系统中,允许系统管理员定制登录和其他安全敏感操作的验证过程。本文将探讨一个名为“pam_havebeenpwned”的PAM模块,该...
LinuxPAM安全认证机制.pdf
09-06
Linux 操作系统中,安全认证机制是非常重要的,PAM(Pluggable Authentication Modules,插件认证模块)是Linux中的一种安全认证机制。PAM的主要作用是提供一个统一的认证接口,让不同的认证模块可以插入到系统中,...
PAM代码及说明_PAM调制解调_matlab_rrcfilter_PAM_
10-02
标题中的"PAM代码及说明_PAM调制解调_matlab_rrcfilter_PAM_"表明了这个压缩包包含的内容是关于脉冲幅度调制(PAM)的Matlab实现,其中包括了RRC(Root Raised Cosine)滤波器的使用以及在AWGN(Additive White ...
系统安全及应用
m0_56629272的博客
05-08 237
一,限制使用su命令 1.修改配置认证文件/etc/pam.d/su, 启用 pam——wheel.so认证模块 2.将admin用户加入到wheel组 3.验证除了root.remdin以外 其他用户均不能使用su用户进行切换 二,设置sudo授权 1.授权用户zhangsan使用useradd userdel passwd usermod命令 但禁止执行“passwd root ” “usermod * root”操作 2.授权lisi用户使用/sbin/*、/usr/sbin/命令,添加NOP
Ubuntu 22.04报错:passwd: Module is unknown
weixin_44572215的博客
01-11 6841
Ubuntu 22.04报错:passwd: Module is unknown
深度Linux手动编译openssl安装后,sudo报错PAM 认证出错模块未知
hknaruto的专栏
04-11 1158
卸载编译安装的openssl,并重新安装libssl-dev。此时已经无法经sudo,su 指令切换到root用户。
Linux权限维持(三)
pingan233的博客
02-23 378
根据原理我们可以知道配置文件的核心是pam配置中的pam_rootok.so,所以只需包含这句话就可以实现后门功能,而且默认的配置文件中除了su,还有其他的可利用的配置文件。,只要PAM配置文件中包含此配置即可SSH任意密码登陆,实践表明,可成功利用的PAM配置文件除了su还有chsh、chfn。通过软连接的方式,实质上PAM认证是通过软连接的文件名(如:/tmp/su,/home/su)在。,所以我们可以在找不到其他的可以进行软连接的文件时,自己创建一个包含。都可以,只要文件位置有su文件。
Linux——系统安全及应用(账号安全、su命令PAM认证sudo命令、开关机安全机制、系统弱口令检测、NMAP)
Axic123的博客
04-13 963
换句话说,只有当对应于应用程序的所有带required标记的模块全部成功后,该程序才能通过鉴别。同时,如果任何带required标记的模块出现了错误,PAM并不立刻将错误消息返回给应用程序,而是在所有此类型模块都调用完毕后才将错误消息返回调用他的程序。反正说白了,就是必须将所有的此类型模块都执行一次,其中任何一个模块验证出错,验证都会继续进行,并在执行完成之后才返回错误信息。
linux系统安全及应用(账号安全和引导登录)
weixin_59792733的博客
08-11 1303
linux系统安全及应用(账号安全和引导登录)
linux切换root免密码,linux 普通用户切换成root免密码的实现
weixin_42521949的博客
04-30 1030
[root@ok ~]# vim /etc/pam.d/su下面是/etc/pam.d/su文件的内容#%PAM-1.0auth sufficient pam_rootok.so# Uncomment the following line to implicitly trust users in the "wheel" group.#auth sufficient pa...
sudoPAM,时间同步
你是遥远的星河
02-09 675
sudo命令 sudo 介绍 sudo特性: sudo能够授权指定用户在指定主机上运行某些命令。如果未授权用户尝试使用 sudo,会提示联系管理员 sudo提供了丰富的日志,详细地记录了每个用户干了什么。它能够将日志传到中心主机或者日志服务器 sudo使用时间戳文件来执行类似的“检票”系统。当用户调用sudo并且输入它的密码时,用户获得了一张存活期为5分钟的票 -sudo的配置文件是sudoer...
TheLinux-PAM系统管理员指南.docx
12-16
PAM的出现就是为了应对这一挑战,通过提供一组标准接口,将授权逻辑与应用程序分离,实现更安全、灵活的验证策略。 PAM的核心是其配置文件体系,主要包括/etc/pam.conf或/etc/pam.d下的多个配置文件。这些配置文件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值