Linux骚操作第十七话之PAM验证、sudo和开关机控制等

最新推荐文章于 2022-06-07 19:21:55 发布
最新推荐文章于 2022-06-07 19:21:55 发布
阅读量719 收藏 2
点赞数 1
分类专栏: linux 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HYMajor/article/details/119843517
版权

文章目录

前言

在工作环境中,一些用户的权限都是由root系统管理员通过sudo放权给予,这样做的好处是防止某些用户存在故意之心,破坏系统。

一、PAM安全认证流程

控制类型也称为Control Flags.用于PAM验证类型的返回结果,在整个验证过程中,最为主要的就是required验证,若required验证失败,结果则为false,若required验证成功,结果则为success。
在这里插入图片描述

二、提权

1、sudo命令用途和用法
1.1、用途:以其他用户身份(root)执行授权的命令
1.2、用法:sudo 授权命令

2、配置sudo授权
2.1、visudo或者vi /etc/sudoers
2.2、第一种记录格式:用户 主机名=命令程序列表;
2.3、第二种记录格式:用户 主机名=(用户)命令程序列表

3、用户别名
3.1、命令用途:当使用相同授权的用户较多,或者授权的命令较多时,可以采用集中定义的别名。用户、 主机、命令部分都可以定义为别名(必须为大写),分别通过关键字User_Alias、Host_Alias、Cmnd_Alias来进行设置。
3.2、用户别名的语法格式用户:User_Alias 用户别名:包含用户、用户组,其他用户的别名主机名:Host_Alias主机别名:主机名、IP、网络地址命令路径:Cmnd_Alias 命令路劲、目录(此目录内的所有命令)、其他事先定义过的命令别名

4、启动sudo操作日志sudo日志记录以备管理员查看,如果已经启用 sudo 日志,则可以从/var/log/sudo 文件中看到用户的 sudo 操作记录

5、案例1:王三用户可以使用useradd以及usermod命令
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

6、案例2:chenhao\chendaoming\wangyang用户禁止使用删除和重启,可以使用mkdir创建文件夹
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
7、案例3:启动sudo操作日志
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

三、开关机安全控制

1、调整BIOS引导设置
1.1、将第一引导设备设为当前系统所在硬盘
1.2、禁止从其他设备引导系统
1.3、将安全级别设为setup,并设置管理员密码

2、GRUB密码
2.1、使用grub2-mkpasswd-pbkdf2生成密钥
2.2、修改/etc/grub.d/00_header文件中,添加密码记录
2.3、生成新的grub.cfg配置文件
2.4、案例

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
3、限制root只在安全终端登录
3.1、安全终端配置:/etc/securetty
3.2、案例
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

四、系统弱口令检测

1、安装JR工具
1.1、安装方法:make clean 系统类型
1.2、主程序文件为john

2、检测弱口令账户
2.1、获得Linux/unix服务器的shadow文件
2.2、执行john程序,将shadow文件作为参数

3、密码文件的暴力破解
3.1、准备好密码字典文件,默认是password.lst
3.2、执行john程序,结合–word list=字典文件

4、案例:暴力破解系统的用户和密码
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

五、网络端口扫描

1、NMAP的扫描
1.1、基本命令:nmap [扫描类型] [选项] <扫描目标>

1.2、常用扫描类型:-sS、-sT、-sF、-sU、-sP、-P02、

1.3、常用选项
-p:指定扫描的端口。

-n:禁用反向DNS解析(以加快扫描速度)

-sS: TCP的SYN扫描 (半开扫描),只向目标发出SYN数据包,如果收到SYN/ACK响应包就认为目标端口正在监听,并立即断开连接;否则认为目标端口并未开放。

-sT: TCP连接扫描,这是完整的TCP扫描方式(默认扫描类型),用来建立一个TCP连接,如果成功则认为目标端口正在监听服务,否则认为目标端口并未开放。

-sF:TCP的FIN扫描,开放的端口会忽略这种数据包,关闭的端口会回应RST数据包。许多防火墙只对sYN数据包进行简单过滤,而忽略了其他形式的TCP攻击包。这种类型的扫描可间接检测防火墙的健壮性

-sU: UDP扫描,探测目标主机提供哪些UDP服务,UDP扫描的速度会比较慢。

-sP: ICMP 扫描,类似于ping检测,快速判断目标主机是否存活,不做其他扫描。

-P0:跳过ping检测, 这种方式认为所有的目标主机是存活的,当对方不响应ICMP请求时,使用这种方式可以避免因无法ping通而放弃扫描。

3、控制位:SYN 建立链接、ACK 确认、FIN 结束断开PSH 传送 0 数据缓存 上层应用协议、RST 重置、URG 紧急

4、案例
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

总结

sudo的作用一是可以维护系统的安全。二是root控制有序的根据需求给不同的用户放权,起到管理普通用户的作用,在使用时,由于性质不同,用户的数量不定,则需要使用别名来统一管理,既高效又便捷。在GRUB菜单中,为了防止有心人擅自改动root系统,则使用密钥方式将菜单锁定,须得匹配用户和密码才能进入急救模式。

林暗森鹿
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux移除pam模块_什么是Linux PAM(可插入身份验证模块)?
cunjiu9486的博客
10-07 841
linux移除pam模块Authentication is an important part of the operations systems like Linux. As Linux operating systems are multi-user systems and run a lot of services and complex scenarios they generally n...
linux命令行如何修改删除pam,linux系统之pam模块
weixin_42351606的博客
04-28 1732
一、pam简介Linux-PAM(linux可插入认证模块)是一套共享库,使本地系统管理员可以随意选择程序的认证方式. 换句说,不用(重新编写)重新编译一个包含PAM功能的应用程序,就可以改变它使用的认证机制. 这种方式下,就算升级本地认证机制,也不用修改程序. PAM使用配置/etc/pam.d/下的文件,来管理对程序的认证方式.应用程序 调用相应的配置文件,从而调用本地的认证模块.模块放置在...
lLinux系统安全sudo+pam
weixin_33862993的博客
08-19 106
ULA安全调优虚拟化存储集群sudo 与 su相同点:使用普通帐号登录系统,避免直接误操作,降低root密码被泄漏风险区别:sudo 在使用普通帐号执行管理操作的时候,euid的身份可以是任何身份(根据配置文件设定),切换到目标euid身份时候,输入的不是目标身份的密码,而是自身的密码。tom ---sudo root--->输入的是tom自己的密码。sudo会记录下所...
Linux_PAM安全认证_sudo_安全控制
Wsxyi的博客
02-10 1771
PAM安全认证一.Linux中的PAM安全认证1.su命令的安全隐患2.PAM(Pluggable Authentication Modules)可插拔式认证模块二.PAM认证原理三. PAM认证得构成1.查看某个程序是否支持PAM认证,可以用Is命令2. 查看su的PAM配置文件: cat /etc/pam.d/su四. PAM安全认证流程 一.Linux中的PAM安全认证 Linux-PAM, 是linux可插拔认证模块,是一套可定制、可动态加载的共享库,使本地系统管理员可以随意选择程序的认证方式。PA
Linux——系统安全及应用(账号安全、su命令、PAM认证、sudo命令)
weixin_69543697的博客
06-07 669
su和sudo提权
pam:Linux的可插入身份验证模块PAM)的Safe Rust API
05-03
pam-Linux插入式身份验证模块PAM)的Safe Rust API 注意:目前仅支持开箱即用的基本用户名/密码认证。 警告 通过env模块提供的环境支持可能已损坏,并且不应在当前状态下使用! 用法 将pam添加到您的Cargo.toml:...
Linux-PAM模块实现用户登陆的控制.pdf
09-07
Linux-PAM 模块在身份验证中的应用非常广泛,例如在网络认证、远程访问、系统登录等场景中。 Linux-PAM 模块可以与各种应用程序集成,如 SSH、FTP、HTTP 等。 Linux-PAM 模块的实现原理是基于模块的设计理念。每...
linux操作系统PAM模块实例
11-06
linux操作系统PAM模块实例,linux操作系统PAM模块实例。
pam_fido2:Linux的安全无密码身份验证
02-22
通过向任何兼容的FIDO2设备发送FIDO2声明请求,并针对每个用户针对一组已注册的公共密钥验证结果声明,来执行用户认证。 重要的! 该软件当前在EARLY ALPHA中。 考虑一下它是一件很酷的事情,当然希望可以坚持使用-...
Linux-PAM-1.3.0.tar.gz_PAM_linux_pam 1.3.1
09-23
Linux-Pam-1.3.0.tar.gz is a package for installing PAM.
linux 禁用密码,linux – 禁用密码复杂性检查(PAM)
weixin_39725403的博客
04-29 928
我安装了一个基于Linux的系统,密码为空.我想将密码更改为简单的密码,但使用passwd并将密码设置为类似单个符号的内容会出现“密码为回文”的错误.如何禁用密码复杂性检查?解决方法:我发现我的系统(大多数现代Linux)使用PAM(可插入认证模块)和pam_cracklib模块.无论参数如何,pam_cracklib都会强制执行最少6个符号的长度,因此解决方法是将其关闭.我读过的一个链接讨论了在...
linux命令行如何修改删除pam,Linux系统裁减之,制作一个极度精简的Linux-5-重新编译login去除对pam模块的依赖...
weixin_42590539的博客
04-28 472
第5章 重新编译login去除对pam模块的依赖在阅读这篇博文之前,建议先阅读我的前4篇博文,而且最好按顺序阅读:(不然可能会觉得我写得不知所云,呵呵!)第2篇:Linux系统裁减之,制作一个极度精简的Linux-2-用脚本实现自动拷贝命令和依赖库文件https://blog.51cto.com/linuxprince/2046142第3篇:Linux系统裁减之,制作一个极度精简的Linux-3...
linux pam使用手册,Linux-PAM系统管理指南(一)
weixin_32924669的博客
05-14 1256
当前位置:我的异常网» Linux/Unix»Linux-PAM系统管理指南(一)Linux-PAM系统管理指南(一)www.myexceptions.net网友分享于:2015-08-26浏览:1次Linux-PAM系统管理指南(1)摘要:Linux-PAM是一组共享库,使用这些模块,系统管理者可以自由选择应用程序使用的验证机制。也就是说,勿需重新编译应用程序就可以切换应用程序使用的...
linux-系统安全及应用 | 账户安全 | PAM认证模块 | 开关机安全控制
Dark_Tk的博客
02-03 675
系统安全及应用 账户安全 将非登陆用户的shell设为/sbin/nologin usermod -s /sbin/nologin 用户名
_一文搞懂PAMlinux访问控制原理
weixin_39606177的博客
10-21 651
pam是如何做linux的访问控制?您知道吗。1.虚拟终端我们知道linux是一个多用户多任务类型的操作系统。在linux中的登录终端通常是虚拟终端,除了虚拟终端之外,还有伪终端,串联终端以及设备终端等等,终端清单在/etc/securetty中呈现。在此文件中不难发现linux系统为我们提供的12种虚拟终端,但是我们默认能访问的只有6个终端?这是因为虚拟终端的开放是受/etc/systemd/l...
Error: sudo required (or change ownership, or define N_PREFIX)
SANJIN0527_的博客
08-18 7494
安装指定版本的nodejs node有一个模块n,是专门用来管理node.js的版本的。 全局安装n模块: npm install -g n 升级node.js到最新稳定版 n stable 解决方法: 您是否以root用户身份在ubuntu计算机上登录?如果不是,请尝试使用sudo运行命令. 列: sudo n stable 进行填写登陆密码 4. 安装指定版本 n v10.17.0 ...
Linux使用PAM锁定多次登陆失败的用户(含重置错误次数)
热门推荐
新路的专栏
05-22 5万+
修改如下文件 /etc/pam.d/sshd    (远程ssh) /etc/pam.d/login    (终端) 在第一行下即#%PAM-1.0的下面添加: auth    required    pam_tally2.so    deny=3    unlock_time=600 even_deny_root root_unlock_time=1200 各参数解释: ev
login (登录)的 PAM 验证机制流程
wangzengdi的专栏
06-17 9045
login 的 PAM 验证机制流程是这样的: 验证阶段 (auth):首先,(a)会先经过 pam_securetty.so 判断,如果使用者是 root 时,则会参考 /etc/securetty 的配置;接下来(b)经过 pam_env.so 配置额外的环境变量;再(c)透过 pam_unix.so 检验口令,若通过则回报 login 程序;若不通过则(d)继续往下以 pam_succ
Linux高级安全认证Linux-PAM的配置
06-12 1万+
导读:PAM机制是一个非常成熟的安全认证机制,可以为Linux多种应用提供安全、可靠的认证服务。本文将对PAM机制的原理、配置进行详细介绍。 关键词:Linux-PAM配置 PAM机制原理 嵌入式认证模块 配置语法  Linux系统是一个多用户、多进程的操作系统,并且,它提供了众多的系统和网络服务给用户使用。因此,从应用角度来说,它不可避免地需要对大量的应用及其用户进行安全认证,只
linux 安装 PAM
最新发布
06-16
Linux系统中,Pluggable Authentication Modules (PAM,插件式认证模块) 是一个用于集中管理用户登录认证、授权和身份验证的框架。PAM允许你在多个应用程序(如SSH、HTTP、SFTP等)中使用统一的身份验证机制,简化了系统管理员的工作。 安装PAM通常包括以下几个步骤: 1. 更新包列表并安装PAM基础套件: ```bash sudo apt-get update sudo apt-get install libpam0g pam-users pam-systemd ``` 或者对于基于RPM的发行版(如Fedora或CentOS): ```bash sudo yum update sudo yum install paman pam-systemd ``` 2. 启用PAM服务: 在Ubuntu和Debian中,PAM已经是默认启用的。但在某些情况下,你可能需要检查和启用它: ```bash sudo systemctl enable pam.service ``` 3. 添加新的PAM配置文件: PAM配置文件通常放在 `/etc/pam.d` 目录下,比如为SSH服务创建一个新的配置文件,可以创建 `/etc/pam.d/sshd`。编辑这个文件,添加适当的认证和授权规则。 4. 重新加载PAM模块或重启服务使更改生效: ```bash sudo pam-auth-update ``` 或者重启SSH服务: ```bash sudo service ssh restart ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值