解析Linux中的系统安全及应用（二）

各位小伙伴大家好，本次和大家分享的是Linux系统中的系统安全及应用的相关理论知识及操作。我将通过以下几点和相关的实验进行分析说明：（接上篇）

五.使用su命令切换用户：

1、用途及方法

• 用途：Substitute User，切换用户
• 格式：su -目标用户（bash环境）
  2、密码验证
• root→任意用户，不验证密码
• 普通用户→其他用户，验证目标用户的密码

[jerry@localhost~]$su -root（带-选项 表示将使用目标用户的登录Shell环境）
口令：
[root@localhost~]#whoami
root

限制使用su命令的用户：
1、将允许使用su命令的用户加入wheel组
2、启用pam_wheel认证模块，格式如下：

[root@localhost~]#vi /etc/pam.d/su
#%PAM-1.0
auth sufficient pam_rootok.so
auth required pam_wheel.so use_uid

六.Linux中的PAM安全认证

su命令的安全隐患
1、默认情况下，任何用户都允许使用su命令，从而有机会反复尝试其他用户（如root）的登陆密码，带来安全风险
2、为了加强su命令的使用控制，可以借助于PAM认证模块，只允许极个别用户使用su命令进行切换
3、PAM（Pluggable Authentication Modules）可插拔式认证模块，它是一种高效而且灵活便利的用户级别的认证方式，它也是当前Linux服务器普遍使用的认证方式。

PAM认证原理：
1、PAM认证一般遵循的顺序：Service（服务）→PAM（配置文件）→pam_*.so
2、PAM认证首先要确定哪一项服务，然后加载相应的PAM的配置文件（位于/etc/pam.d下），最后调用认证文件（位于/lib/security下）进行安全认证
3、用户访问服务器的时候，服务器的某一个服务程序把用户的请求发送到PAM模块进行认证
4、不同的应用程序所对应的PAM模块也是不同的

PAM认证的构成：
1.查看某个程序是否支持PAM认证，可以使用ls命令进行查看，例如查看su是否支持PAM模块认证

• ls /etc/pam.d | grep su
  2.查看su的PAM配置文件：cat /etc/pam.d/su
• 每一行都是一个独立的认证过程
• 每一行可以区分为三个字段
  ①认证类型
  ②控制类型
  ③PAM模块及其参数

PAM安全认证流程
控制类型也可以称作Control Flags，用于PAM验证类型的返回结果

1. required验证失败时仍然继续，但返回Fail
2. requisite验证失败则立即结束整个验证过程，返回Fail
3. sufficient验证成功则立即返回，不在继续，否则忽略结果并继续
4. optional不用于验证，只显示信息（通常用于session类型）
   具体图示过程如下：
   

账户安全切换实验：

输入：ls /etc/pam.d（查看独立配置文件）

输入：ls /etc/security/（查看安全配置文件）
[外链图片转存失败(img-4bFJW92t-1569205678561)(https://s1.51cto.com/images/blog/201908/26/54f2d516e2127eaf7e69db88f24a7d13.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)]
在CentOS终端登录一个账户，例如zhangsan账户，登录进去后打开终端界面：
输入：grep “bash$” /etc/passwd（此时账户有两个：root、zhangsan）
输入：useradd lisi（创建新用户lisi）
输入：passwd lisi（设置密码123123）
输入：su - root（切换超级管理员用户）
默认情况下知道root密码就可以进入权限ÿ