Linux——系统安全及应用（账号安全、su命令、PAM认证、sudo命令）

一、账号安全控制

1.1 安全基本措施

用户账号，是计算机使用者的凭证或标识，每一个要访问系统资源的人，必须凭借其用户账号才能进入计算机。在Linux系统中，提供了多种机制来确保用户账号的账号的正当、安全使用。

1.1.1 系统账号清理

Linux系统中，除了手动创建的账号，还包括随系统安装进来的大量账号，但是除了超级用户root之外，这些安装系统带进来的账号只是用来维护系统运作、启动或保持服务进程，一般不允许登陆（非登录用户），接下来我为大家介绍一下非登录用户：

----将非登录用户的Shell设为/sbin/nologin（禁止用户登录）-----
usermod -s /sbin/nologin 用户名

------锁定和解锁长期不使用的账号-----
[root@localhost ~]# usermod -L user    锁定用户账号方法一
[root@localhost ~]# passwd -l user     锁定用户账号方法二
[root@localhost ~]# usermod -U user    解锁用户账号方法一
[root@localhost ~]# passwd -u user     解锁用户账号方法二

passwd -S 用户名     //查看用户锁定状态

-----删除无用的账号-----
userdel [-r] 用户名

----锁定账号文件passwd、shadow----
锁定文件并查看状态
chattr +i /etc/passwd /etc/shadow
lsattr /etc/passwd /etc/shadow

解锁文件
chattr -i /etc/passwd /etc/shadow

查找所有终端禁止登录的用户
usermod -s 用户名 ##将用户设为不可登陆

------锁定和解锁长期不使用的账号-----

----锁定账号文件passwd、shadow----
lsatter /etc/passwd ##查看文件锁定状态
扩展：

1.1.2 密码安全控制

在不安全的网络环境中，为了降低密码被猜出或者被暴力破解的风险，用户应该养成更改密码的习惯，避免长期使用一个密码。这个时候管理员就可以在服务器端限制用户密码的最大有效天数：

---------这种方法适合修改已经存在的用户-----------
 1.[root@localhost ~]# chage -M 30 user   
​默认99999天

---------这种适合以后添加新用户-----------
 2.[root@localhost ~]# vim /etc/login.defs   
   PASS_MAX_DAYS   30

---------强制在下次登录时更改密码----------
 3.[root@localhost ~]# chage -d 0 zhangsan  ##强制在下次登录时更改密码 [root@localhost ~]# cat /etc/shadow | grep zhangsan 
 ##shadow文件中的第三个字段被修改为0

对于已经存在的用户，将密码修改为有效期30天



对于还未存在的账户

验证一下：

1.1.3 历史限制 && 终端注销

shell环境的命令机制为用户提供了极大便利，但另一方面也给用户带来了潜在的风险。只要获得用户的命令历史文件，该用户的命令操作过程将会被一览无余…bash终端环境中，历史命令的记录条数有变量HISTSIZE控制，只要改变/etc/profile文件中的HISTSIZE变量值，就可以影响系统中的所有用户：

• 减少记录的命令条数
• 登录时自动清空命令历史

----------------------------------历史限制---------------------------------------------------------------------
------适用于新用户-----
[root@localhost ~]# vi /etc/profile    ## 进入配置文件修改限制命令条数。适合新用户
export HISTSIZE=200            ##修改限制命令为200条，系统默认是1000条profile
[root@localhost ~]# source /etc/profile         ## 刷新配置文件，使文件立即生效

------适用于当前用户-----
[root@localhost ~]# export HISTSIZE=200  适用于当前用户
   [root@localhost ~]# source /etc/profile 
   [root@localhost ~]# source /etc/profile 刷新配置文件，使文件立即生效

------登录时自动清空历史命令（永久）-----
[root@localhost ~]# echo"" > ~/.bash_history

------登录时自动清空历史命令（临时）-----
[root@localhost ~]#vim ~/.bash_logout
history -c
clear

------适用于当前用户-----



------登录时自动清空历史命令-----

注销时自动清空历史命令
永久清除

临时清除（重启缓存还在）

• 闲置600秒后自动注销

-------------------------------自动注销------------------------------------
[root@localhost ~]# vi /etc/profile
......
export TMOUT=600  ##设置注销时间为600秒
[root@localhost ~]# source /etc/profile  ##重新加载配置文件

1.2 用户切换命令——su

大多数Linux服务器并不建议直接以root用户进行登录。一方面可以大大减小因误操作而带来的破坏，另一方面也降低了特权密码在不安全的网络中被泄露的风险。鉴于这些原因，需要为普通用户提供一种身份切换或者权限提升机制，便于在必要的时候执行管理任务：

1.2.1 用途及用法

• 用途：Substitute User，切换用户
• 格式：su - 目标用户

1.2.2 密码验证

root->任意用户，不验证密码
普通用户->其他用户，验证目标用户的密码

[jerry@localhost ~]$ su - root                      ##带-选项表示将使用目标用户的登录Shell环境
口令:
[root@localhost ~]# whoami
root

1.2.3 查看su操作记录

安全日志文件：/var/log/secure

1.2.4 限制使用su命令的用户（pam-wheel认证模块）

为了加强su命令的使用控制，可以借助于pam-wheel认证模块，只允许极个别用户使用su命令进行切换。实现过程如下：


将授权使用su命令的用户添加到wheel组，修改/etc/pam.d/su认证配置以启用pam_wheel认证

• 将允许使用su命令的用户加入wheel组
• 启用pam_wheel认证模块
• vim /etc/pam.d/su
  把第六行注释去掉保存退出
  
• 以上两行是默认状态(即开启第一行，注释第二行)，这种状态下是允许所有用户间使用su命令进行切换的
• 两行都注释也是运行所有用户都能使用su命令，但root下使用su切换到其他普通用户需要输入密码:
• 如果第–行不注释，则root 使用su切换普通用户就不需要输入密码( pam_ rootok. so模块的主要作用是使uid为0的用户，即root用户能够直接通过认证而不用输入密码。)
• 如果开启第二行，表示只有root用户和wheel1组内的用户才可以使用su命令。
• 如果注释第一行，开启第二行，表示只有whee1组内的用户才能使用su命令，root用户也被禁用su命令。

使用pam_wheel认证之后，没有加到wheel的用户将不能再使用su

将kiro加入到wheel之后，kiro就有了使用su命令的权限

1.2.5 whoami确定当前用户是谁

1.3 用户提升执行权限命令——sudo

通过su命令可以非常方便切换到另一个用户，但前提条件是必须知道用户登录密码。对于生产环境中的Linux服务器，每多一个人知道特权密码，安全风险就多一分。于是就多了一种折中的办法，使用sudo命令提升执行权限，不过需要由管理员预先进行授权， 指定用户使用某些命令：

1.3.1 用途及用法：

• 用途：以其他用户身份（如root）执行授权命令
• 用法：sudo 授权命令

---------visudo单个授权----------
visudo 或者 vim /etc/sudoers
记录格式：
user MACHINE=COMMANDS
可以使用通配符“ * ”号任意值和“ ！”号进行取反操作。
%组名代表一整个组
权限生效后，输入密码后5分钟可以不用重新输入密码。

例如：visudo命令下
user kiro=(root)NOPASSWD:/usr/sbin/useradd,PASSWD:/usr/sbin/usermod
##代表 kiro主机里的user用户，可以无密码使用useradd命令，有密码使用usermod

---------/etc/sudoers多个授权----------
 Host_Alias MYHOST= localhost                                  主机名
 User_Alias MYUSER = yxp，zhangsan,lisi，%组                需要授权的用户   自动添加用户到组
 Cmnd_Alias MYCMD = /sbin/*,/usr/bin/passwd          授权
 MYUSER  MYHOST = NOPASSWD : MYCMD          授权格式

sudo -l     ##查询目前sudo操作

---------查看sudo操作记录----------
需启用Defaults logfile
配置默认日志文件: /var/log/sudo

1.通过visudo单个授权

进入/etc/sudoers添加配置

user用户 使用useradd添加命令

2.通过 vim /etc/sudoers 多个授权

进到pengxw，创建新用户
创建成功，因为已经授权

3.查看sudo操作记录

1.4 PAM安全认证

PAM是linux系统可插拔认证模块。为了加强su命令的使用控制，可以借助使用PAM认证模块，只允许极个别用户使用su命令切换：
PAM及其作用

• PAM(Pluggable Authentication Modules)可插拔式认证模块
• 是一种高效而且灵活便利的用户级别的认证方式
• 也是当前Linux服务器普遍使用的认证方式
• PAM提供了对所有服务进行认证的中央机制，适用于login，远程登陆，su等应用
• 系统管理员通过PAM配置文件来制定不同的应用程序的不同认证策略

PAM认证原理

1. PAM认证一般遵循的顺序: Service (服务) --> PAM (配置文件) --> pam_*.so

2. PAM认证首先要确定哪一项应用服务，然后加载相应的PAM的配置文件(位于/etc/pam.d下)，最后调用认模块(位于/lib64/security/下）进行安全认证。

3. 用户访问服务器的时候，服务器的某一个服务程序把用户的请求发送到PAM模块进行认证。不同的应用程序所对应的PAM模块也是不同的

4. 如果想查看某个程序是否支持PAM认证，可以用ls命令进行查看/etc/pam.d/
   ls /etc/pam.d/ | grep su

5. PAM的配置文件中的每一行都是一个独立的认证过程，它们按从上往下的顺序依次由PAM模块调用
   
   
   

PAM 案例

1. 问题描述

控制用户使用su命令进行切换

2. 启用/etc/pam.d/su中的pam_wheel模块

实验步骤

1）添加授权用户user到wheel组
修改/etc/group 或者使用命令usermod -G wheel user 将用户加入到wheel组


2）开启只允许wheel组使用su权限
需要编辑/etc/pam.d/su/ 配置文件，将前方的 # 注释去掉
这样就只有wheel组的成员可以使用su命令了


3）测试
在wheel组的user可以切换到root,普通用户无法切换，提示拒绝权限