Linux系统安全与应用 一

已于 2022-07-14 12:00:44 修改
阅读量1.2k 收藏
点赞数
文章标签: 大数据
于 2022-07-14 11:20:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liji133122/article/details/125770479
版权

目录

一、账号安全基本措施

1、系统账号清理

将非登录的用户hehe设为sbin/nologin

锁定长期不使用的账号

删除无用的账号

锁定账号文件passwd,shadow

2、密码安全控制

设置密码有效期

限制用户下次登录就需要更改密码

3、命令历史限制

减少记录的命令条数

注销时自动清空

4、终端自动注销

 5、限制su命令用户

6、PAM安全认证

一、账号安全基本措施

1、系统账号清理

将非登录的用户hehe设为sbin/nologin

锁定长期不使用的账号

1,使用usermod锁定和解锁用户

 usermod -L 用户名:对用户进行锁定

usermod -U 用户名:对用户进行解锁(由于新建的用户还没有设置密码,所以此处提示我们需要设置密码后解锁用户)

usermod -p 用户名:对未设置密码的用户进行设置密码并解锁

2、使用passwd锁定和解锁用户

 passwd -l 用户名:对用户进行锁定

passwd -u 用户名:对用户进行解锁

删除无用的账号

 userdel -r 用户名:删除无用的用户

锁定账号文件passwd,shadow

 chattr +i /etc/passwd /etc/shadow:对账号文件passwd,shadow进行锁定,锁定后将无法创建用户。

 chattr -i /etc/passwd /etc/shadow:对账号文件passwd,shadow进行解锁,解锁后可以正常创建用户。

同时,这两条命令也可以对文件进行锁定与解锁,锁定后将无法对此文件进行修改和删除等操作,解锁后恢复正常。

2、密码安全控制

设置密码有效期

vi /etc/login.defs

PASS_MAX_DAYS   30

修改密码配置文件,适用于新建用户

chage -M 30 hehe

cat /etc/shadow | grep hehe

直接修改有效期,适用于已有用户

PASS_MAX_DAYS   99999:密码最长有效期

PASS_MIN_DAYS        0    :密码最短有效期

PASS_MIN_LEN          0     :推荐密码最小位数

PASS_WARN_AGE     7     : 设定在密码失效前多少天开始通知用户更改密码

限制用户下次登录就需要更改密码

chagr -d 0 hehe

cat /etc/shadow | grep hehe

3、命令历史限制

减少记录的命令条数

想要减少历史记录的命令条数,我们先进入/etc/profile环境变量文件中进行设置,保存退出后将其设置为生效,命令为:source /etc/profile,或者直接重启

 此处1000改为所需要显示的命令条数,wq保存退出

 source /etc/profile识别此次修改,然后可以用history查看历史命令条数

注销时自动清空

 

进入开机启动配置文件进行修改

输入echo '' >  ~/.bashrc(自动清空命令历史)

4、终端自动注销

限制600秒自动注销

vi /etc/profile

进入配置文件进行修改

export TMOUT=600

设置注销时间为600秒

source /etc/profile

重新加载配置文件

 5、限制su命令用户

     默认情况下,如何用户都允许使用su命令,从而与机会反复尝试其他用户的登录密码,这样带来了安全风险。为了加强su命令的使用控制,可以借助于pam_wheel认证模块只允许极个别用户使用 su 命令进行切换。实现过程如下:将授权使用 su 命令 的用户添加到 wheel 改/etc/pam.d/su 认证配置以启用 pam_wheel 认证。
root→任意用户  不需要验证密码

普通用户→其它用户  需要验证目标用户的密码

 借用pam_wheel命令来限制用户su命令进行切换

将授权使用su命令的用户添加到whell组

进入su命令的配置文件 

对su命令进行修改

 进入修改界面后输入命令set nu(显示行数)

第二行是对root进行修改(此处不需要该)

第六行是对whell组内的用户进行修改是否能使用su命令(以最前面#为判断标准,有#无法使用,无#可以使用)

6、PAM安全认证

PAM认证一般遵循的顺序:service(服务)- PAM(配置文件)-pam *.so:

PAM认证首先要确定哪一项应用服务,然后加载相应的pam配置文件,/etc/pam.d下。不同的应用程序所对应的PAM模块也是不同的

第一列代表PAM认证模块的类型
auth:对用户身份仅从识别
account:对账号各项属性进行检查
password:使用用户信息来更新数据
session:定义登陆前以及推出后所要进行的会话操作管理

第二列代表PAM控制标记
required:表示需要返回一个成功值,如果返回失败,不会立刻将失败结果返回,而是继续进行同类型的下一验证,所有此类型的模块都执行完成后,再返回失败。
requisite:与required类似,但如果此模块返回失败,则立刻返回失败并表示此类型失败。
sufficient:如果此模块返回成功,则直接向程序返回成功,表示此类成功,如果失败,也不影响这类型的返回值。
optional: 不进行成功与否的返回,一般不用于验证,只是显示信息(通常用于session类型),
include:表示在验证过程中调用其他的PAM配置文件。比如很多应用通过完整调用/etc/pam.d/system-auth(主要负责用户登录系统的认证工作)来实现认证而不需要重新逐一去写配置项。

第三列代表PAM模块
默认是在/lib64/security/目录下,如果不在此默认路径下,要填写绝对路径。同一个模块,可以出现在不同的模块类型中,它在不同的类型中所执行的操作都不相同,这是由于每个模块针对不同的模块类型编制了不同的执行函数。

第四列代表PAM模块的参数
这个需要根据所使用的模块来添加。传递给模块的参数。参数可以有多个,之间用空格分隔开
每一行都是一个独立的认证过程
每一行可以区分为三个字段:认证类型、控制类型、PAM模块及其参数

PAM 认证类型包括四种:
认证管理(authentication management):接受用户名和密码,进而对该用户的密码进行认证;
帐户管理(account management):检查帐户是否被允许登录系统,帐号是否已经过期,帐号的登录是否有时间段的限制等;
密码管理(password management):主要是用来修改用户的密码;
会话管理(session management):主要是提供对会话的管理和记账。 控制类型也可以称做 Control Flags,用于 PAM 验证类型的返回结果。


1.required验证失败时仍然继续,但返回 Fail
2.requisite验证失败则立即结束整个验证过程,返回 Fail
3.sufficient验证成功则立即返回,不再继续,否则忽略结果并继续
4.optional不用于验证,只是显示信息(通常用于 session 类型)

吉吉吉吉吉吉吉吉吉吉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Linux usermod -p 修改用户密码
lxyfish111的专栏
08-10 9076
Linux usermod -p 修改用户密码 passwd也可以修改口令,但是这是一种交互式的方式,需要用户干预。当然也可以使用重定向或者管道向passwd喂数据,暂且不提。 linux下增加用户的命令是useradd,修改用户的命令是usermod,二者都有一个参数 –p,这个参数可以直接指定用户的口令,但是需要注意的是,这个口令并不是明文,而是经过加密的一个字串。 linu
Linux命令之usermod命令
热门推荐
月生的静心苑
08-31 2万+
usermod命令修改系统帐户及账户相关的各项属性。如果用户的数字用户ID、用户名或用户的主目录发生更改,则必须确保在执行此命令时,命名用户未执行任何进程。usermodLinux上对此进行检查,但仅检查用户是否根据其他架构上的utmp登录。您必须手动更改任何crontab文件或at作业的所有者。必须在NIS服务器上进行涉及NIS的任何更改。usermod命令的操作修改的是/etc/passwd和/etc/shadow这两个文件中的内容。.........
usermod详解
最新发布
fmnsliudi的博客
06-15 3174
需要注意的是,对于 `usermod` 命令修改了一些用户属性之后,可能需要在相关配置文件中修改对应字段,例如 `/etc/passwd`、`/etc/shadow`、`/etc/group` 等,以使修改生效。
如何查找Linux系统中密码为空的所有用户
withkai44的博客
07-10 869
导读 最糟糕的密码不是弱密码,而是根本没有密码。作为系统管理员,您必须确保每个用户帐户都有一个强密码。接下来我将简要的解释如何在 中查找密码为空的帐户。在进入主题之前,让我们快速回顾一下Shadow文件及其用途。 Shadow文件 在 RHEL 系统中,用户密码经过哈希处理并存储在名为 /etc/shadow 的安全文件中。Shadow密码文件包含用户帐户的用户身份验证信息和密码过期策略(password aging)的详细信息。 Shadow文件归 root 用户所有,且只有超级用户才能读取。您可以使用以
【shell】四 使用passwd来代替usermod修改密码
百物易用是苏生
05-28 461
usermod -p password username #usermod 修改的密码在/etc/shadow中是明文密码,风险太大 #应使用passwd代替
Linux系统安全研究与应用.pdf
09-07
"Linux系统安全研究与应用" Linux系统安全是指保护Linux操作系统免受恶意攻击、病毒、木马、漏洞等安全威胁的各种措施和技术。Linux系统作为一个开源的操作系统,具有高度的可靠性和安全性,但是仍然存在一些安全...
浅谈Linux系统安全应用.pdf
09-06
浅谈Linux系统安全应用 Linux系统安全Linux系统中非常重要的一方面。随着Linux系统的普及,Linux系统安全也逐渐受到人们的重视。Linux系统安全机制主要包括身份验证、访问控制、加密、防火墙等多个方面。 身份...
Linux操作系统安全
04-10
Linux 操作系统安全知识体系 Linux 操作系统安全是指保护 Linux 操作系统免受未经授权的访问、使用、披露、修改或破坏的安全措施。 Linux 操作系统安全知识体系涵盖了账户安全、文件系统安全、访问控制、日志审计、...
linux系统安全配置要求
03-27
Linux 系统安全配置要求是指为了确保 Linux 系统的安全性,需要对系统进行的一系列配置和检查。这些配置和检查项涵盖了账户安全、口令策略、用户组管理等方面,以确保系统的安全和稳定。 1. 帐户安全配置要求 帐户...
Linux操作系统应用ppt课件.ppt
11-20
Linux 操作系统的应用非常广泛,包括服务器管理、数据库管理、网络管理、安全管理等。 在 Linux 操作系统中,聊天工具是一个非常重要的应用程序。聊天工具可以帮助用户实时在线交流、分享文件、传输文件等。腾讯QQ...
usermod -p修改的暗文密码问题
刘铭
03-15 3699
usermod -p修改的暗文密码,如:修改为"123",登陆是输入“123”会提示密码错误,因为“123”实际上是暗文,需转化为相应的明文才可以,如果遇到这种情况,可以用下面的方法修改用户密码: 1、重启系统,按“esc”进入GRUB菜单,选择你平时登陆的系统,如: Ubuntu, kernel 2.6.12-8-386 2、按“e”编辑启动参数:选择kernel /boot/vmlin
linuxusermod命令参数,LinuxUsermod命令参数解析和实例说明
weixin_42364391的博客
05-11 511
Usage: usermod [options] LOGINOptions:-a, --append append the user to the supplemental GROUPS(use only with -G)-c, --comment COMMENT new value of the GECOS field-d, --home HOME_...
useradd/usermod -p 指定用户密码
weixin_33850890的博客
04-13 824
2019独角兽企业重金招聘Python工程师标准>>> ...
批量删除、创建、判断、系统账户
weixin_45754572的博客
10-15 180
#!/bin/bash while true do for i in seq 1 10 do ab=cat /dev/urandom | sed 's/[^a-zA-Z0-9]//g'| strings -n 3 | head -n 1 id user_$i > /dev/null 2>&1 if [ KaTeX parse error: Expected group afte...
Usermod 命令详解
weixin_33725272的博客
09-11 3789
参考资料:usermodmanpage usermod - 修改用户帐户信息 modify a user account usermod [options] user_name usermod 命令修改系统帐户文件来反映通过命令行指定的变化 选项(options) -a|--append##把用户追加到某些组中,仅与-G选项一起使用-c|--commen...
Linuxusermod 命令的使用
Arno_An的博客
04-19 1836
Linux usermod 可以用来修改用户基本信息 语法 usermod [参数] [用户账号] 参数说明 - c <备注> 修改用户账号的备注文字 - d <登入目录> 修改用户登入是的目录 - e <有效期限> 修改账号的有效期限 - f <缓冲天数> 修改在密码过期后多少天关闭该账号 - g <群组> 修改用户所属的群组 - ...
linux usermod命令参数及用法详解(linux修改用户账号信息命令
xiaoxinyu316的专栏
01-07 1万+
原文http://www.51itstudy.com/31332.html 命 令:usermod 功能说明:修改用户帐号。 语  法:usermod [-LU][-c ][-d ][-e ][-f ][-g ][-G ][-l ][-s][-u ][用户帐号] 补充说明:usermod可用来修改用户帐号的各项设定。 参  数:  -c  修改用户帐号的备注文字
Linux系统用户命令详解
qq_45169180的博客
03-20 442
1.命令简介加粗样式 usermod(user modify)命令是系统管理员命令,用于修改用户账号 。 usermod可用来修改用户账号的各项设定,修改系统账号文件来反映通过命令行指定的变化。 2.命令格式 usermod [OPTIONS] LOGIN 1 3.选项说明 -c, --comment 添加备信息 -d, --home HOME_DIR 用户的新主目录 -e, --expiredate EXPIRE_DATE 设定帐户过期的日期 -f, --inactive INACTIVE 过期 INAC
Linux 创建用户使用-p参数自动设置密码
编制者的专栏
04-09 5039
useradd -p后面跟的passwd必须是经过crypt加密过的密码, 因为用户登录时,系统会将密码加密后再和/etc/shadow中相应用户的密码字段匹配。   解决办法: 以root用户创建测试用户,密码设置为你想要的密码(这里假设密码为“oracle”): useradd test passwd test 设置test用户的密码为: oracle 获取密码密文: cat /etc/shadow | grep test test:$1$uRUnO/uA$H7aPFUcugcizXCASaEADy
linux系统安全应用
03-21
Linux系统在安全方面有很多措施,例如使用防火墙、限制用户权限、使用加密文件系统等。同时,也有很多安全工具可以用来检测和防范攻击,例如SELinux、AppArmor、Tripwire等。在应用方面,Linux系统可以用于各种用途,例如Web服务器、数据库服务器、桌面应用等。同时,也有很多开源软件可以用来支持这些应用,例如Apache、MySQL、OpenOffice等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

吉吉吉吉吉吉吉吉吉吉

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值