登陆密码管理
- 通过vim /etc/login.defs可修改密码有效期,时间单位为天,
- 适用于新建的用户
- 通过chage -M 天数 用户命令可修改已有用户密码有效期时间
- 通过chage -d 0 用户命令强制用户下次登陆时更改账户密码
账户密码安全配置
#vi /etc/login.defs
PASS_MAX_DAYS 密码最长的有效期设置 最好设置的有效期较短比较安全
PASS_MIN_DAYS 与第一个相反,设置最短密码有效期时间
PASS_MIN_LEN 设置密码长度不低于xxx位,建议设置的密码为8位以上较为安全
PASS_WARN_AGE 密码失效日期警告天数
限制任何用户使用su切换用户
使用命令 vim /etc/pam.d/su
添加一行内容为auth required pam_wheel.so group=<用户名>
指定xxx用户可以使用su
参考设置
命令历史、自动注销
- 通过vim /etc/profile可修改HISTSIZE的值来调整命令历史记录条数,适用于新登陆用户;export
HISTSIZE=200,适用于当前用户 - 通过vim /etc/profile可修改TMOUT的值来设置用户超时时间,默认单位为秒,适用于新登陆用户;export
TMOUT=600,适用于当前用户 - 通过vim ~/.bash_logout打开并添加history -c在退出登陆时清空历史命令
用户切换与提权
su命令切换用户
- 切换时需要验证目标用户的密码,root切换成任何账号都不需要密码
- 调整/etc/pam.d/su文件中的pam_wheel后,可以使用gpasswd -a 用户名
wheel命令授权哪些用户可以执行su命令,默认拒绝所有用户,只有添加到wheel组中的用户才可以使用su命令
sudo命令提权
- /etc/sudoers文件中授权哪些用户可以使用sudo提权
- 授权格式为 user
MACHINE=COMMANDS,user为授权的用户,MACHINE为用户在哪些主机上可以执行,COMMANDS用户可以执行哪些命令 - 授权的用户多时可用集中定义的方式,定义用户的名字为User_Alias,主机为Host_ALias,命令为Cmnd_ALias,命令部分可以使用"*","!"通配符
- sudo命令会验证当前用户的密码
- sudo -l可以查看哪些用户授权了
授权设置
设置文件夹权限,非root用户禁止修改浏览
- 执行 chmod 600 /etc/httpd/conf/httpd.conf,设置配置文件属主可读写
- 执行 chmod 644 /var/log/httpd/*.log设置日志文件为属主可读写,其他用户只有只读权限
- /etc/httpd/conf/httpd.conf 默认权限为644,根据需要进行修改权限为600
- /var/log/httpd/*.log 日志文件默认权限644
JOHN工具破解密码
软口令破解
wget https://www.openwall.com/john/j/john-1.8.0.tar.xz # 下载工具
tar xvf john-1.8.0.tar.xz # 解压源码
cd john-1.8.0.tar.xz/src/ #进入源码目录
make clean linux-x86-64 # 编译源码
cd ../run # 进入运行目录
cp /etc/shadow ./shadow.txt # 复制shadow文件
./john shadow.txt # 破解shadow文件密码