用户账号安全
设置账号有效期
- 使用chage工具
- -d 0,强制修改密码
- -E yyyy-mm-dd,制定失效日期(-1quxiao)
]# chage -E 2019-12-31 zengye
]# chage -l zengye
.. ..
Password inactive :never
Account expires :Dec 31,2017
.. ..
账号的锁定/解锁
- 使用passwd命令
- -l 锁定、-u解锁、-S看状态
]# passwd -l zengye
锁定用户 zengye 的密码 。
passwd: 操作成功
]# passwd -S zengye
zengye LK 2019-09-24 0 99999 7 -1 (密码已被锁定。)
伪装登录提示
- 配置文件/etc/issue、 /etc/issue.net
-分别适用于本地、远程登录
-默认会提示内核、系统等版本信息
文件系统安全
- 禁用非必要的系统服务
-使用systemctl、chkconfig工具
锁定/解锁保护文件
- EXT3/EXT4的文件属性控制
-chattr、lsattr - +、-、=控制方式
-属性i:不可变(immutable)
-属性a:仅可追加(append only)
]# chattr +i /etc/hosts
]# echo "1.2.3.4 www.qq.com" >> /etc/hosts
-bash: /etc/hosts: 权限不够
su切换用户身份
切换与提权的应用场景
- 切换用户身份,when?
-SSH远程管理
-运维测试 - 提升执行权限,when?
-管理权限细分
su切换的基本用法
- Substitute User ,换人
-快速切换为指定的其他用户
-普通用户执行时,需验证目标用户的口令
-root执行时,无需验证口令 - 命令格式
-用法1:su [-] [目标用户]
-用法2:su [-] -c “命令” [目标用户]
su操作示例
- 从普通用户切换为root,并登陆新shell环境
-执行su -,或者su -root
-不指名目标用户时,默认视为root
]#$ whoami
zengye
]$ su -
密码:
]# whoami
root
分析su切换的使用情况
- 安全日志/var/log/secure
-记录su验证、shell开启与关闭
]# tail /var/log/secure
… …
Sep 24 19:24:29 71 su: pam_unix(su-l:session): session opened for user root by zengye(uid=500) (su切换登入成功)
Sep 24 19:25:11 71 su: pam_u nix(su-l:session): session closed for user root (su 会话断开成工)
sudo提权的基本用法
- Super or another Do,超级执行
-管路员预先为用户设置执行许可
-被授权用户有权执行授权的命令,验证自己的口令 - 执行提权命令
-用法:sudo 提权命令 - 查看提权命令
-用法: sudo -l
配置sudo提权
- 修改方法
-推荐:visudo
-其他:vim/etc/sudoers - 授权记录格式
-用户 主机列表=命令列表
]# grep ^root /etc/sudoers
root ALL=(ALL) ALL
可以时%组名 目标身份,省略时表示root
- wheel组的用户无需验证可执行所以命令
]# visudo
.. ..
%wheel ALL(ALL) NOPASSWD:ALL
分析sudo提权的使用情况
- 修改全局配置,启用日志
-Defaults logfile="/var/log/sudo"
sudo别名配置
- 主要用途
-提高可重用性、易读性
-简化配置、使记录更有条例
]# visudo
.. ..
User_Alias OPERATORS=jerry,tom,tsengyia
Host_Alias MAILSERVERS=mail,smtp,pop3,svr7
Cmnd_Alia SOFTMGR=/bin/rpm,/usr/bin/yum
OPERATORS MAILSERVERS=SOFTMGR