系统安全及应用

1、账号安全基本措施

1.1、系统账号清理

• 将用户设置为无法登录、

• 锁定账户

• 删除账户

• 锁定账户密码 本质锁定

shell——/sbin/nologin却比较特殊，所谓“无法登陆”指的仅是这个用户无法使用bash或其他shell来登陆系统而已，并不是说这个账号就无法使用系统资源。

1.1.1将用户设置为无法登录

chsh -s /sbin/nologin zhangsan

更改zhangsan的shell属性

1.1.2锁定用户

passwd -l zhangsan
锁定用户 zhaosi 的密码 。

 passwd -u zhangsan
解锁用户 zhaosi 的密码 。

2、PAM安全认证

PAM提供了对所有服务进行认证的中央机制，适用于本地登录，远程登录，如：telnet,rlogin,fsh,ftp,点对点协议PPP，su等应用程序中，系统管理员通过PAM配置文件来制定不同应用程序的不同认证策略；应用程序开发者通过在服务程序中使用PAM API(pam_xxxx( ))来实现对认证方法的调用；而PAM服务模块的开发者则利用PAM SPI来编写模块（主要调用函数pam_sm_xxxx( )供PAM接口库调用，将不同的认证机制加入到系统中；PAM接口库（libpam）则读取配置文件，将应用程序和相应的PAM服务模块联系起来。重复利用别人的开发的功能，不必自己开发，会话，密码验证等功能，已经做好了调用下就可以了未来通用性，所以有了pam框架，类似淘宝 一边普通买家，一边卖家，淘宝上既是买家也是卖家

[root@localhost ~]#rpm -qi pam
#查看当前系统pam
[root@localhost ~]#rpm -ql pam
#查看模块

2.1、PAM相关文件

• 包名: pam

• 模块文件目录：/lib64/security/*.so

• 特定模块相关的设置文件：/etc/security/

• man 8 加模块名 可以查看帮助

• 应用程序调用PAM模块的配置文件

1. 主配置文件：/etc/pam.conf，默认不存在，一般不使用主配置

2. 为每种应用模块提供一个专用的配置文件：/etc/pam.d/APP_NAME

2.2、PAM工作原理

PAM认证一般遵循这样的顺序：Service(服务)→PAM(配置文件)→pam_*.so

PAM认证首先要确定那一项服务，然后加载相应的PAM的配置文件(位于/etc/pam.d下)，最后调用认证文件(位于/lib64/security下)进行安全认证

2.3、专用配置文件/etc/pam.d/ 格式

type：指模块类型，即功能

control ：PAM库该如何处理与该服务相关的PAM模块的成功或失败情况，一个关健词实现

module-path： 用来指明本模块对应的程序文件的路径名

Arguments： 用来传递给该模块的参数

模块类型（module-type）

• Auth 账号的认证和授权

• Account 帐户的有效性，与账号管理相关的非认证类的功能，如：用来限制/允许用户对某个服务的访问时间，限制用户的位置(例如：root用户只能从控制台登录)

• Password 用户修改密码时密码复杂度检查机制等功能

• Session 用户会话期间的控制，如：最多打开的文件数，最多的进程数等

• -type 表示因为缺失而不能加载的模块将不记录到系统日志,对于那些不总是安装在系统上的模块有用

Control: （ 控制位）

• required ：一票否决，表示本模块必须返回成功才能通过认证，但是如果该模块返回失败，失败结果也不会立即通知用户，而是要等到同一type中的所有模块全部执行完毕，再将失败结果返回给应用程序，即为必要条件

• requisite ：一票否决，该模块必须返回成功才能通过认证，但是一旦该模块返回失败，将不再执行同一type内的任何模块，而是直接将控制权返回给应用程序。是一个必要条件

• sufficient ：一票通过，表明本模块返回成功则通过身份认证的要求，不必再执行同一type内的其它模块，但如果本模块返回失败可忽略，即为充分条件，优先于前面的

• equired和requisiteoptional ：表明本模块是可选的，它的成功与否不会对身份认证起关键作用，其返回值一般被忽略include： 调用其他的配置文件中定义的配置

• optional 可选项

3、模块

3.1、PAM模块

默认是在/lib64/security/目录下，如果不在此默认路径下，要填写绝对路径。 同一个模块，可以出现在不同的模块类型中，它在不同的类型中所执行的操作都不相同，这是由于每个模块针对不同的模块类型编制了不同的执行函数。

每一行都是一个独立的认证过程； 每一行可以区分为三个字段： 认证类型 控制类型 PAM 模块及其参数 PAM 认证类型包括四种： 认证管理（authentication management）：接受用户名和密码，进而对该用户的密码进行认证； 帐户管理（account management）：检查帐户是否被允许登录系统，帐号是否已经过 期，帐号的登录是否有时间段的限制等； 密码管理（password management）：主要是用来修改用户的密码； 会话管理（session management）：主要是提供对会话的管理和记账。 控制类型也可以称做 Control Flags，用于 PAM 验证类型的返回结果。 1）required 验证失败时仍然继续，但返回 Fail 2）requisite 验证失败则立即结束整个验证过程，返回 Fail 3）sufficient 验证成功则立即返回，不再继续，否则忽略结果并继续 4）optional 不用于验证，只是显示信息（通常用于 session 类型）

3.2、shell模块

功能：检查有效shell

帮助：man pam_shells

案例：不允许使用/bin/csh的用户本地登录

模块： pam_shells.so 只允许 规定的shell类型通过， 是在/etc/shells 文件中存在的 类型通过

3.3、limit

功能：在用户级别实现对其可使用的资源的限制，例如：可打开的文件数量，可运行的进程数量，可用内存空间

(1) ulimit命令

ulimit是linux shell的内置命令，它具有一套参数集，用于对shell进程及其子进程进行资源限制。

ulimit的设定值是 per-process 的，也就是说，每个进程有自己的limits值。使用ulimit进行修改，立即生效。

ulimit只影响shell进程及其子进程，用户登出后失效。

可以在profile中加入ulimit的设置，变相的做到永久生效

[root@localhost pam.d]#ulimit -a
#可以看到系统的相关 资源限制 设置

 

ab -c1025 -n 2000 http://192.168.91.100/
#使用压力测试工具进行测试  打开的文件数

[root@localhost pam.d]#ulimit -n  10000
#修改最大值  临时修改

 4、sudo

sudo 即superuser do，允许系统管理员让普通用户执行一些或者全部的root命令的一个工具，如halt，reboot，su等。在一般用户需要取得特殊权限时，其可在命令前加上“sudo”，此时sudo将会询问该用户自己的密码（以确认终端机前的是该用户本人），回答后系统即会将该命令的进程以超级用户的权限运行。

sudo特性：

• sudo能够授权指定用户在指定主机上运行某些命令。如果未授权用户尝试使用 sudo，会提示联系管理员

• sudo提供了丰富的日志，详细地记录了每个用户干了什么。它能够将日志传到中心主机或者日志服务器

• sudo使用时间戳文件来执行类似的“检票”系统。当用户调用sudo并且输入它的密码时，用户获得了一张存活期为5分钟的票

• sudo的配置文件是sudoers文件，它允许系统管理员集中的管理用户的使用权限和使用的主机。它所存放的位置默认是在/etc/sudoers，属性必须为0440

vim /etc/sudoers
配置文件‘’

#用户    登入主机    =    (代表用户)     命令
#user         host       =    (runas)       command
 root                   ALL=(root)                    A

user: 运行命令者的身份
host: 通过哪些主机 多个 192.168.91.100 - 110  localhost
(runas)：以哪个用户的身份
command: 运行哪些命令