一,账号基本安全措施
1.账号安全控制
2.锁定文件状态
查看文件状态:
lsattr /etc/passwd
lsattr /etc/shadow
锁定:
chattr +i /etc/passwd
重要文件:/etc/passwd /etc/shadow /etc/fstab
解锁:
chattr -i /etc/passwd
3.对密码进行安全控制
vim /etc/login.defs 修改配置,改变账号创建时密码的最大有效期,这种方式只能针对新建用户,已有用户不在此范围内
进入编辑:底行模式 set nu 到25行
passwd_max_days 30 密码有效期30天
此时新建用户密码有效期30天
· vim /etc/shadow 修改已经存在的用户,直接进去修改(不推荐)
· chage -M 30 用户 把用户密码有效期改成30天
· chage -d 0 用户 强制用户下次登录修改密码
4.对历史命令进行限制
history -c 临时清除,重启之后还在
vim /etc/profile
换成=20,限制为20条历史记录,保存并退出
再用source /etc/profile命令查看便会显示20条历史命令记录
5.使用su命令切换用户
su - 用户 完整切换
su 用户 不完全切换,环境变量不变
再root用户下su有刷新作用
exit可以直接退出当前系统登录的用户
6.限制用户使用su命令
限制用户进行切换:为了方便,会给一些普通用户类似管理员的权限,这些用户是禁止切换的,只能自己用,不能随便切换到其他用户
wheel组:是一个特殊的组,通常用于控制系统管理员(root)权限的访问,加入wheel组之后可以和root管理员一样使用一些敏感命令。
有一个限制条件:sudo 可以和管理员一样执行root管理员的命令,必须要加入wheel组
wheel组默认为空的,需要手动添加,而且不会给所有权限,会进行限制,只能使用一些特定命令
vim /etc/pam.d/su 切换用户认证的模块
底行模式:set nu 看第六行 先取消注释
auth 表示权限
required 表示接受
是根据use_uid来进行认证 这一行命令就是表示普通用户之间切换su将会受到限制,除非加入wheel组,否则将不能随意进行用户切换
7.pam可插拔认证模块
pam 可插拔式认证模块,相当于身份认证的框架,提供给用户一种标准的身份认证接口,管理员可以定制化配置各种认证方式
可插拔:即配即用,即删即失效
vim /etc/pam.d/su 切换用户认证的模块
底行模式:set nu 看第六行 加上注释就生效了,普通用户之间切换没有其他限制了
打开认证---su这个命令进行验证和限制---用户不能随便切换用户---除非加入wheel,否则不能进行用户切换
8.通过sudo机制提升权限
sudo核心就是普通用户可以使用管理员才能够使用的命令,但是这个权限移动要进行限制
vim /etc/sudoers 是一个只读文件,提升sudo命令的安全范围限制,只能使用特定的命令,或者禁止使用一些命令
想要退出必须使用强制命令
sudo命令的用途及用法:
用途:以其他用户身份(如root)执行授权命令
用法:sudo 授权命令
1.
配置sudo授权
visudo //自带语法检查功能(建议使用)
或者 vim /etc/sudoers
记录格式:
root ALL=(ALL) ALL
解析:
root 哪个用户要使用命令
ALL 哪台主机
(ALL) 以谁的身份运行
ALL 所有命令
所有命令里面可以使用通配符" * "号任意值和" !"号进行取反操作。
visudo -c //检查语法是否正确
%在前表示组
## Allows people in group wheel to run all commands
%wheel ALL=(ALL) ALL
wheel组表示管理员组是比较特殊的一个组,在wheel组中的成员可以使用任何命令
2.
配置/etc/sudoers文件,可以授权用户较多的时使用,相当于设置了别名
Host_Alias MYHOST= localhost,XXX //主机名
User_Alias USERS = wangwu01,wangwu02,lisi //需要授权的用户
Cmnd_Alias MYCMD =/usr/bin/* //授权
USERS MYHOST= NOPASSWD : MYCMD //授权格式
3.查看sudo操作记录
需启用Defaults logfile
配置默认日志文件:
visudo 进入编辑模式
添加以下内容:
Defaults logfile = "/data/sudo.log"
6238
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
