Linux系统安全 sudo pam 对称加密与非对称加密 md5

最新推荐文章于 2023-11-07 21:28:29 发布
最新推荐文章于 2023-11-07 21:28:29 发布
阅读量366 收藏
点赞数
分类专栏: LINUX 文章标签: sudo  pam md5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42388880/article/details/103328185
版权

1 Linux系统安全概述-sudo授权

1.1 Linux第三阶段资深知识整体概述:

在这里插入图片描述

常见攻防手段:

  1. 防范手段整体分两部分

防范手段: 技术和法规(规章制度)社会工程学

技术层面:
在这里插入图片描述
系统验证:
在这里插入图片描述

1.2 认证方法

[root@yunzu63 Desktop]# system-config-authentication //如果没有此命令,需要安装
[root@yunzu63 ~]# yum -y install authconfig-gtk //安装
打开字符界面:
[root@yunzu63 Desktop]# authconfig-tui

存放用户信息和密码信息:
用户信息:
[root@yunzu63 ~]# ls /etc/passwd*
/etc/passwd /etc/passwd-
密码信息:
[root@yunzu63 ~]# ls /etc/shadow*
/etc/shadow /etc/shadow-
密码:/etc/shadow- 是/etc/shadow 文件备份

查看是否一样:
[root@yunzu63 ~]# diff /etc/shadow /etc/shadow-
[root@yunzu63 ~]# diff /etc/passwd /etc/passwd-

[root@yunzu63 ~]# vimdiff /etc/passwd /etc/passwd-

密码加密技术:
RHEL5 使用 MD5 对/etc/shadow中密码加密
RHEL6 使用sha512 对/etc/shadow中密码加密
例:
[root@yunzu63 ~]# grep shadow /root/anaconda-ks.cfg
authconfig --enableshadow --passalgo=sha512

1.3 授权su/sudo权限

在这里插入图片描述
例:su 切换用户:
[root@yunzu63 ~]# su - root

1.4 通过sudo 给普通用户授权:

sudo 是在不切换用户的情况下,以其他用户的身份执行一个命令。它能够限制指定用户在指定的主机上运行某些指定的命令。
/etc/sudoers是sudo命令的配置文件

/etc/sudoers 文档格式:
[root@yunzu63 ~]# vim /etc/sudoers

命令格式
用户名或组名 ALL=(以谁的身份运行命令) Commd_Alias运行的命令
注:
如果组:前面加% 。 如: %kill
Commd_Alias运行的命令:注:1命令;2目录(必须以/结尾)最好使用绝对路径;

配置sudo方法:
方法1:visudo
visudo命令概述:
sudo都提供了一个编辑该文件/etc/sudoers的命令:visudo来对该文件/etc/sudoers进行修改。使用visudo命令修改 sudoers配置,因为它会帮你校验文件配置是否正确,如果不正确,在保存退出时就会提示你哪段配置出错的。

方法2:vim直接编辑/etc/sudoers
[root@yunzu63 ~]# vim /etc/sudoers
实例:测试 sudo 命令
1、建立两个普通用户 liv , poppy 添加到组stu
[root@yunzu63 ~]# groupadd stu
[root@yunzu63 ~]# useradd -g stu liv
[root@yunzu63 ~]# useradd -g stu poppy
[root@yunzu63 ~]#passwd liv (补充的命令)
[root@yunzu63 ~]# echo redhat | passwd --stdin liv
[root@yunzu63 ~]# echo redhat | passwd --stdin poppy
//密码是redhat

切换到liv 测试fdisk -l
[root@yunzu63 ~]# su - liv
[liv@yunzu63 ~]$ fdisk -l //提示对以下设备权限不够,无法打开
fdisk: 打不开 /dev/sda: 权限不够
fdisk: 打不开 /dev/sr0: 权限不够

2 让liv具有root用户使用fdisk的权限。
[root@yunzu63 ~]# vim /etc/sudoers #在文件最后添加以下内容:
liv ALL=(root) /sbin/fdisk
(注:使用sudo命令时加上命令的全路径)
保存退出。不需要重启什么服务。

测试:
[liv@yunzu63 ~]$ sudo fdisk -l

例:再添加几个命令行 使liv能执行更多的命令

[root@yunzu63 ~]# visudo #添加以下内容
liv ALL=(root)
/sbin/fdisk,NOPASSWD:/usr/bin/systemctl,/usr/sbin/lsof,/usr/sbin/service,/usr/sbin/ifconfig,/usr/bin/mount
##RHEL 7环境
注:添加上NOPASSWD: 后,NOPASSWD:之:后的命令都不需要输入密码。默认是PASSWD

测试:
[liv@yunzu63 ~]$ sudo fdisk -l #需要输入liv密码

RHEL 7环境下:
[liv@yunzu63 ~]$ systemctl start httpd //需要认证,需要输入root密码才能够启动
[liv@yunzu63 ~]$ sudo systemctl start httpd /使用sudo是可以直接启动了,也不需要输入root用户密码
[liv@yunzu63 ~]$ sudo lsof -i :80

[liv@yunzu63 ~]KaTeX parse error: Expected 'EOF', got '#' at position 26: …/cdrom /opt/ #̲执行不成功 [liv@yunz…sudo mount /dev/cdrom /opt/ #加sudo 就可以执行成功
[liv@yunzu63 ~]$ ls /opt/
[liv@yunzu63 ~]$sudo fdisk -l

总结:

/etc/sudoers中常用的写法如下:
例:一个用户可以执行另一个用户的某些命令
[root@yunzu63 ~]# vim /etc/sudoers
liv ALL=(poppy) /opt/poppy.sh

例2:让stu组中的所有用户,可以执行/sbin目录下的所有命令
%stu ALL=(root) /sbin/

例3: liv用户可以执行任何用户的任何命令。
[root@yunzu63 ~]# vim /etc/sudoers
liv ALL=(ALL) ALL

2 PAM可插入式验证模块

Pluggable(可插拔) Authentication(认证) Modules )。sun公司提出出来的一种机制。它通过提供一些动态链接库和一套统一的API,将系统提供的服务和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系统中添加新的认证手段。
PAM模块和应用程序之间的关系:就你锁和门的关系
PAM认证模块
应用程序

有验证的程序(如login、ssh、vsftpd、samba、apache):
1)使用通用的pam验证模块.
2)程序自写验证功能. 例:apache的验证是自己开发的

如何知道一个程序是否支持pam认证
ldd命令 显示进程运行所依赖的动态连接库的详细信息
例:

[root@yunzu63 Desktop]# ldd /bin/login           #/bin/login 命令的相关共享库文件列表
 linux-vdso.so.1 =>  (0x00007ffccfad0000)
 libpam.so.0 => /lib64/libpam.so.0 (0x00007f1786dd9000)
 libpam_misc.so.0 => /lib64/libpam_misc.so.0 (0x00007f1786bd5000)
 libaudit.so.1 => /lib64/libaudit.so.1 (0x00007f17869ac000)
 libselinux.so.1 => /lib64/libselinux.so.1 (0x00007f1786785000)
 libc.so.6 => /lib64/libc.so.6 (0x00007f17863c2000)
 libdl.so.2 => /lib64/libdl.so.2 (0x00007f17861bd000)
 libcap-ng.so.0 => /lib64/libcap-ng.so.0 (0x00007f1785fb7000)
 libpcre.so.1 => /lib64/libpcre.so.1 (0x00007f1785d55000)
 /lib64/ld-linux-x86-64.so.2 (0x0000562d55f13000)
 libpthread.so.0 => /lib64/libpthread.so.0 (0x00007f1785b38000)

例:查看login是否支持pam
[root@yunzu63 Desktop]# ldd /bin/login |grep pam
libpam.so.0 => /lib64/libpam.so.0 (0x00007fe1dc652000)
libpam_misc.so.0 => /lib64/libpam_misc.so.0 (0x00007fe1dc44e000)
可以查看到pam相关的库,说它支持pam认证。
pam模块:每个模块的功能的都是专用的,独特的。

2.1 pam相关配置文件:

1、pam模块位置:
64位 操作系统:
[root@yunzu63 Desktop]# ls /lib64/security/
2、每个pam模块的配置文件:ls /etc/security/
例:查找模块pam_access.so位置及对应的模块配置文件
[root@yunzu63 Desktop]# ls /lib64/security/pam_access.so
/lib64/security/pam_access.so
[root@yunzu63 ~]# ls /etc/security/access.conf
/etc/security/access.conf

3、每个服务加载的pam模块的配置文件位置
ls /etc/pam.d
例:[root@iZ25b6alxstZ ~]# vim /etc/pam.d/sshd #每个服务器的pam配置文件一般以服务名开头

[root@iZ25b6alxstZ ~]# vim /etc/pam.d/sshd
#%PAM-1.0
auth required pam_sepermit.so
auth include password-auth
account required pam_nologin.so
account include password-auth

注释:配置文件格式
验证类型 控制标识 模块
auth include包含 文件
account required需要 root 模块 [参数]
requisite(必要) 模块
optional可选 模块
sufficient(充足)充分 模块

验证类型:
auth 与用户名密码相关的 ,如: 用户密码是否正确 ,用户是否锁定,密码是否锁定。
account 与用户名密码无关的,如:对用户登录的时间做检查,是否过期。是否允许在ttyx上登录。

控制标识:
需要required:表示后面跟的模块的功能是必要条件,必须成功,最后才可能验证成功、 如果不成功,继续往后验证,最后才返回失败。

例:验证用户名和密码时,如果用户名出错,然后继续往后验证,最后才返回失败。 好处: 不让黑客知道自己是用户名错了还是密码。

必要requisite:表示后面跟的模块的功能是必要条件,必须成功,最后才可能验证成功、
如果不成功,马上返回失败,而不继续往后验证。

例:比如判断一个用户是否是root用户,如果不是,直接返回权限不够。
充分sufficient:充分条件,表示如果后面跟的模块的功能成功,则马上返回成功,如果不成功,忽略不计,继续往后验证。
例:权限验证身份是否是root, 如果是root用户,直接执行
可选optional:表示后面跟的模块的功能是可选条件,不影响最后验证结果
包含include:包含后面指定的文件中的相同验证类型的行。

例1:限制普通用户 Kill 不能在tty2上登录。 在字符login程序下运行。 gnome图面不生效。在gnome图形界面下,是另一套认证机制。
生成用户:

[root@yunzu63 ~]# useradd kill
[root@yunzu63 ~]# echo 123456 | passwd --stdin kill
Changing password for user kill.
passwd: all authentication tokens updated successfully

第一步: 让字符界面登录认证程序login加访问控制功能"pam_access模块”
[root@yunzu63 Desktop]# vim /etc/pam.d/login #添加以下红色内容
account required pam_access.so
如图:
在这里插入图片描述
第二步:修改pam_access模块的配置文件/etc/security/access.conf:
[root@yunzu63 ~]# ls /lib64/security/pam_access.so #pam_access模块
/lib64/security/pam_access.so
[root@yunzu63 ~]# ls /etc/security/access.conf # pam_access模块配置文件
/etc/security/access.conf

[root@yunzu63 ~]# vim /etc/security/access.conf #一定要顶头写,不要有空格。在最后添加

  • : kill : tty2
    #禁止kill从tty2上登录。

测试:
ctrl+alt+F2 切换到: tty2上测试
查看日志:
[root@yunzu63 ~]#tail -f /var/log/secure #与验证有关的都是此日志里一定要学会看帮助和日志
May 7 20:14:11 localhost login: pam_access(login:account): access denied for user kaixin' fromtty2’
May 7 20:14:11 localhost login: Permission denied

总结使用pam模块流程
1、配置服务的pam配置文件来调用pam模块A (选一个锁)
2、配置pam模块A的配置文件,实现某个功能 (上锁)
3、测试

3 对称加密-非对称加密方法

3.1加密算法

1)对称加密(一把密钥配) 容易泄露,效率高
2)非对称加密(一对密钥配(公钥用来加密,私钥用来解密)) 更安全,效率低
对称加密算法:
AES 高级加密算法
DES 标准加密算法
3DES 三重数据加密算法(TDEA,Triple Data Encryption Algorithm)块密码的通称。它相当于是对每个数据块应用三次DES加密算法
非对称加密算法:DSA RSA

例1: 演示对称加密:3des算法
[root@yunzu63 Desktop]# yum install openssl
openssl 是一套加密工具包。
[root@yunzu64 ~]# openssl --help #使用方法
[root@yunzu64 ~]#openssl enc --help #查看加密算法

例:加密

[root@yunzu63 Desktop]# openssl enc -e -des3 -a -in /etc/passwd -out /passwd.des3
enter des-ede3-cbc encryption password:123456
Verifying - enter des-ede3-cbc encryption password:123456
参数:
选项: options are
-in input file
-out output file
-e encrypt 加密 ; 后面可以加很多加密算法,如: -des3 加密码算法
-d decrypt 解码
-a/-base64 base64 encode/decode, depending on encryption flag。# base64编码/解码,这取决于加密标志。
注:Base64是网络上最常见的用于传输8Bit字节代码的编码方式之一。
查看加密效果。
[root@yunzu63 Desktop]# vim /passwd.des3
查看不使用-a base64编译的效果:
[root@yunzu63 ~]# openssl enc -e -des3 -in /etc/passwd -out /passwd.des3-v2
enter des-ede3-cbc encryption password:
Verifying - enter des-ede3-cbc encryption password:
[root@yunzu63 ~]# vim /passwd.des3-v2

解密:
[root@yunzu63 Desktop]# openssl enc -d -des3 -a -in /passwd.des3 -out /root/passwd
-d decrypt 解码
查看解密完的文件和原文件是否一致
[root@yunzu63 ~]# diff /etc/passwd /root/passwd #没有任何输出说明,两个文件内容一样

实例2:使用RSA算法进行非对称加密演示过程
安装:加密工具

[root@yunzu63 ~]# rpm -qf `which gpg`
gnupg2-2.0.14-4.el6.x86_64

yunzu63主机上
说明: gpg命令要在图形界面执行。因为执行过程中会弹出窗口。

[root@yunzu63 Desktop]# gpg --gen-key  #生成密钥对
#产生一个新的密钥对 --gen-key   generate(ˈjenəˌrāt产生) a new key pair 
gpg (GnuPG) 2.0.14; Copyright (C) 2009 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Please select what kind of key you want:
   (1) RSA and RSA (default)
   (2) DSA and Elgamal
   (3) DSA (sign only)
   (4) RSA (sign only)
Your selection?              #直接回车,选择 RSA算法
RSA keys may be between 1024 and 4096 bits long.
What keysize do you want? (2048)    #回车, 密钥长度: 2048
Requested keysize is 2048 bits
Please specify how long the key should be valid.   #请指定密钥多长时间有效
         0 = key does not expire   #0表示,永不过期
      <n>  = key expires in n days
      <n>w = key expires in n weeks
      <n>m = key expires in n months
      <n>y = key expires in n years
Key is valid for? (0)   #回车
Key does not expire at all
Is this correct(正确)? (y/N) y  
GnuPG needs to construct a user ID to identify your key.
Real name: yunzu     #密钥的名字
Email address: 1@163.com
Comment: yunzursa
You selected this USER-ID:
    "yunzu (yunzursa) <1@163.com>"
Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? O
You need a Passphrase to protect your secret key.

产生成随机事件:

[root@yunzu64 ~]# find /

3.2 查看密钥对

[root@yunzu63 Desktop]# file /root/.gnupg/pubring.gpg
/root/.gnupg/pubring.gpg: GPG key public ring
[root@yunzu63 Desktop]# file /root/.gnupg/secring.gpg

实战:实现yunzu63和yunzu64 之间使用非对称加密方法传输数据
#复制公钥到另一台机器yunzu64上
[root@yunzu63 ~]# scp /root/.gnupg/pubring.gpg 192.168.1.64:/root/
测试加密解密:
客户端: yunzu64:
[root@yunzu64 ~]# which gpg
/usr/bin/gpg
[root@yunzu64 ~]# rpm -qf /usr/bin/gpg
gnupg2-2.0.14-4.el6.x86_64
查看公钥:
[root@yunzu64 ~]# gpg --list-keys

3.3 导入公钥
[root@yunzu64 ~]# gpg --import /root/pubring.gpg 
gpg: key 01B94CBE: public key "yunzu (yunzursa) <1@163.com>" imported
gpg: Total number processed: 1
gpg:               imported: 1  (RSA: 1)
[root@yunzu64 ~]# gpg --list-keys
/root/.gnupg/pubring.gpg

------------------------
pub   2048R/01B94CBE 2014-12-20
uid                  yunzu (yunzursa) <1@163.com>
sub   2048R/5B3C7567 2014-12-20

3.4 使用公钥加密:
[root@yunzu64 ~]# cp /etc/passwd /root
[root@yunzu64 ~]# gpg -ear yunzu /root/passwd

参数:
-a, --armor 装甲 ['ɑ:mə] create ascii armored output 以ASCII的方式输出
-r, --recipient接受者[rɪˈsɪpiənt] USER-ID encrypt for USER-ID指定加密使用的公钥的名字。
-e, --encrypt [ɪnˈkrɪpt] encrypt data
-d, --decrypt [di:ˈkrɪpt] decrypt data (default)

gpg: 5B3C7567: There is no assurance this key belongs to the named user
pub  2048R/5B3C7567 2014-12-20 yunzu (yunzursa) <1@163.com>
 Primary key fingerprint: 91DD 87D1 DF7D F82E F6EC  9165 E961 6018 01B9 4CBE
      Subkey fingerprint: 5122 62B6 72A9 F771 F33A  1834 6406 913C 5B3C 7567
It is NOT certain that the key belongs to the person named
in the user ID.  If you *really* know what you are doing,
you may answer the next question with yes.

Use this key anyway? (y/N) y
参数:
-ear :
-e, --encrypt加密 encrypt data
-a, --armor (盔甲) create ascii armored output #以ascII编码输出
-r, --recipient接收USER-ID encrypt for USER-ID 指定加密使用的公钥的名字。

[root@yunzu64 ~]# ls passwd*
passwd passwd.asc (加密后生成的文件)
[root@yunzu64 ~]# vim passwd
[root@yunzu64 ~]# vim passwd.asc #查看加密后的数据

解密:yunzu63
[root@yunzu64 ~]# scp passwd.asc 192.168.1.63:/root/

在yunzu63解密码:

[root@yunzu63 ~]# gpg --list-key
/root/.gnupg/pubring.gpg

------------------------
pub   2048R/EF0DC402 2016-03-18
uid                  yunzu (yunzursa) <1@163.com>
sub   2048R/63E9B374 2016-03-18

[root@yunzu63 ~]# gpg -dar yunzu -o passwd passwd.asc
在这里插入图片描述
参数:
-d 解密
-a, --armor (盔甲) create ascii armored output #以ascII编码输出
-r, --recipient USER-ID encrypt for USER-ID 指定加密使用的公司UID
-o 指定解密后的内容输出到文件中。

例:公钥私钥实例,实现yunzu63登录yunzu64时,不输入密码
[root@ yunzu63~]# ssh-keygen
复制公钥到yunzu64上:
[root@yunzu63 ~]# ssh-copy-id -i /root/.ssh/id_rsa.pub 192.168.1.64
或:
[root@yunzu63 ~]# ssh-copy-id root@192.168.1.64
测试:
[root@yunzu64 ~]# ssh 192.168.1.64

4 md5-sha1-哈希算法使用方法

4.1 使用哈希算法保证数据完整性。

常见的哈希算法有:MD5 和 SHA1
MD5 ,SHA1 的区别:
MD5的全称是Message-Digest Algorithm 5(信息-摘要算法)。MD5 算法的哈希值大小为 128 位。是一种不可逆的算法。
SHA1的全称是Secure Hash Algorithm(安全哈希算法)。SHA1 算法的哈希值大小为 160 位。是一种不可逆的算法

SHA1抗暴力破解能力比MD5强。
缺点:产生SHA-1 报文摘要的运行速度比MD5 慢。
哈希算法具有以下特点:
1、压缩性:任意长度的数据,算出的哈希值长度都是固定的。
2、容易计算:从原数据计算出哈希值很容易。
3、抗修改性:对原数据进行任何改动,哪怕只修改1个字节,所得到的哈希值都有很大区别。
4、弱抗碰撞:已知原数据和其哈希值,想找到一个具有相同哈希值的数据(即伪造数据)是非常困难的。
实例1:产成固定长度MD5消息摘要

[root@yunzu63 ~]# md5sum /etc/passwd
d5712ff41f92511823453e10e433b948  /etc/passwd
[root@yunzu63 ~]# sha1sum /etc/passwd
e3cd228d75a0cee98c82848d4f1d82fa4b4b7710  /etc/passwd

实例2:使用MD5加密密码:

[root@yunzu63 ~]# echo 123 | md5sum 
ba1f2511fc30423bdbb183fe33f3dd0f  -
[root@yunzu63 ~]# echo 1234 | md5sum 
e7df7cd2ca07f4f1ab415d457a6e1c13  -

实例3:演示MD5保障数据的完整性:
使用MD5检查先前使用rsa私钥解密后的文件和原文件是否一致

[root@yunzu63 ~]# scp /root/passwd 192.168.1.64:/opt/    #把解密的文件复制到yunzu64
[root@yunzu64 ~]# md5sum /etc/passwd /opt/passwd  #在yunzu64上进行对比,如果哈希值一样,说明正确。
d5712ff41f92511823453e10e433b948  /etc/passwd
d5712ff41f92511823453e10e433b948  /opt/passwd
[root@yunzu63 ~]# md5sum  /dev/sda1  #可以分区取一个哈希值。
想养一只咪
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux系统安全概述-sudo授权-pam认证机制-对称加密-非对称加密-md5-数字证书
qq_40907977的博客
12-02 194
内容: 17.1 Linux系统安全概述-su-sudo授权 17.2 pam认证机制概述 17.3 对称加密-非对称加密方法 17.4 md5-sha1-哈希算法使用方法 17.5 CA证书的作用 本节所使用实验环境:RHEL 7 (如有使用RHEL 6,会特别注明) 17.1 Linux系统安全概述-sudo授权 17.1.1 Linux第三阶段资深知识整体概述: /安全、稳定 /可用性-网络(协议) / \易用、易维护 / \系统调优 (高性能、低成本) 应用/
Linux_加密和安全详细介绍
Blog of Stevenux
11-10 807
加密和安全 一.安全机制 安全攻击的几种典型方式: STRIDE Spoofing 假冒 Tampering 篡改 Repudiation 否认 Information Disclosure 信息泄漏 Denial of Service 拒绝服务 Elevation of Priv...
Linux云计算架构:第三阶段-Linux高级运维架构】第17章——Linux系统安全概述-sudo授权-pam认证机制-对称加密-非对称加密-md5-数字证书
就叫一片白纸的博客
07-17 642
本节内容: 17.1 Linux系统安全概述-su-sudo授权 17.2 pam认证机制概述 17.3 对称加密-非对称加密方法 17.4 md5-sha1-哈希算法使用方法 17.5 CA证书的作用 本节所使用实验环境:RHEL 7 (如有使用RHEL 6,会特别注明) 17.1 Linux系统安全概述-sudo授权 17.1.1 Linux第三阶段资深知识整体概述: /安全、稳...
安全加密之-PAM
weixin_34014555的博客
11-12 215
时间:2018.1.16 作者:李强 参考:man,info,magedu讲义,万能的internet 实验环境:VMware® Workstation 12 Pro ,Centos 6.9,Centos 7.4,SecureCRT Version 8.1.4 声明:以下英文纯属个人翻译,英文B级,欢迎纠正,以下内容纯属个人理解,并没有对错,只是参考,盗...
加密-CA-PAM
wang94sh11b3的博客
10-18 984
加密-CA-PAM
sudo,pam
weixin_34414650的博客
04-25 124
P2DR模型 # nmap -sS -P0 -O www.uplooking.com # curl -I http://www.uplooking.com http://www.up4g.com/plus/view.php?aid=16 http://www.up4g.com/cqjy/105.html 真实UID 用户UID是什么,程序执行的时候用该...
Linux系统安全基础:身份认证、加密和防火墙
Linux系统的安全性不仅仅关乎机器本身,也与数据的完整性、隐私的保护以及业务的连续性紧密相关。一个安全可靠的Linux系统能够有效防御恶意代码的入侵,保护用户的身份和敏感信息不被窃取或篡改。 ## 1.2 审视当前...
Linux加密和安全
weixin_43570812的博客
06-30 653
Linux加密和安全 墨菲定律 墨菲定律:一种心理学效应,是由爱德华·墨菲(Edward A. Murphy)提出的,原话:如果有两种或两种以上的方式去做某件事情,而其中一种选择方式将导致灾难,则必定有人会做出这种选择 主要内容: 任何事都没有表面看起来那么简单 所有的事都会比你预计的时间长 会出错的事总会出错 如果你担心某种情况发生,那么它就更有可能发生 安全机制 信息安全防护的目标 保密性 Confidentiality 完整性 Integrity
Linux应用-加密和安全
qq_41596208的博客
02-22 2081
Linux应用-加密和安全加密和安全一、grep1. grep概念 加密和安全 一、grep 1. grep概念
lLinux系统安全sudo+pam
weixin_33862993的博客
08-19 116
ULA安全调优虚拟化存储集群sudo 与 su相同点:使用普通帐号登录系统,避免直接误操作,降低root密码被泄漏风险区别:sudo 在使用普通帐号执行管理操作的时候,euid的身份可以是任何身份(根据配置文件设定),切换到目标euid身份时候,输入的不是目标身份的密码,而是自身的密码。tom ---sudo root--->输入的是tom自己的密码。sudo会记录下所...
md5 哈希算法 数据完整性验证工具
11-18
md5 SHA 哈希算法 数据完整性验证工具 非常小 提供三种算法:MD5 SHA1 CRC 算法
linux 对称加密命令,linux -对称加密非对称加密
weixin_29239279的博客
04-28 431
对称加密加密和解密用的是相同的密码。安全强度依赖密码的强度。加密和解密效率非常快。非对称加密加密和解密用的是不相同的密钥。效率非常低,不适合对大尺寸数据进行处理。私钥是钥匙持有人自己生成并且自行保管,绝对不能泄漏的。它是用于对数据的“签名”---其实最终效果也就是加密。使用私钥对经过公钥加密后的数据进行解密,这个过程叫“校验”。公钥是在私钥的基础上生成对应的密钥文件,是对签名的数据进行“解密”--...
sudoPAM,时间同步
你是遥远的星河
02-09 690
sudo命令 sudo 介绍 sudo特性: sudo能够授权指定用户在指定主机上运行某些命令。如果未授权用户尝试使用 sudo,会提示联系管理员 sudo提供了丰富的日志,详细地记录了每个用户干了什么。它能够将日志传到中心主机或者日志服务器 sudo使用时间戳文件来执行类似的“检票”系统。当用户调用sudo并且输入它的密码时,用户获得了一张存活期为5分钟的票 -sudo的配置文件是sudoer...
对称加密非对称加密以及它们在HTTPS和Linux免密登录中的应用
舒航的博客
04-25 695
1.密码体制模型 在密码学中,一个密码体制或密码系统是指由明文、密文、密匙、加密算法和解密算法所组成的五元素。 密文是指未经过任何变换的原始消息,通常用m(message)或p(plaintext)表示。所有可能的明文有限集组成明文空间,通常用M或P表示。 密文是指明文加密后的消息,通常用哪个c(ciphertext)表示。所有可能的密文有限集组成的密文空间,通常用C表示。 密匙是指进行加...
linux认证授权系统,3-19-Linux系统安全概述-sudo授权-pam认证机制
weixin_39607865的博客
05-15 214
1、创建一个普通帐号,让此帐号通过sudo可以执行fdisk命令分区[root@Read4 ~]# useraddMX# 创建一个用户[root@Read4 ~]# echochm123456 | passwd --stdinMX# 添加密码Changing password for user MX.passwd: all authentication tokens updatedsucces...
pam验证和sudo介绍及操作
xyype的博客
12-16 1080
pam多条件验证 pamlinux可植入式的验证模块 作用:通过多个模块对相应的程序进行多条件验证 ​ 不是所有的程序都支持pam,一般用于像ssh,login,vsftd等程序 [root@localhost ~]# /etc/pam.d 配置文件(相当于门) [root@localhost ~]# /etc/pam.d/login中常见的选项 requisite...
windows下免密码登录linux,Windows和Linux下实现ssh免密登录
weixin_26891599的博客
04-30 278
------------恢复内容开始------------SSH是一种通讯协议,可以实现远程安全登录。可以通过如putty、MobaXterm等工具通过ssh安全登录到虚拟机进行操作。Openssh:ssh远程安全登录的开源实现(软件)。SSH安全免密码登录:ssh keyssh key 使用非对称加密方式生成公钥和私钥私钥存放在本地 ~/.ssh目录公钥可以对外公开,放在服务器的~/.ssh/...
系统安全及应用(su、sudoPAM
最新发布
HanYuHao11的博客
11-07 144
1.系统安全基本措施 系统账号的清理 将非登录的用户的shell设为/sbin/nologin(非登录的用户账号) 查看登录用户,过滤出非登录的用户账号 cat /etc/passwd |grep”/sbin/nologin” 将账号设置为非登录用户:usermod -s /sbin/nologin 用户名 锁定用户: passwd: passwd -l锁定 passwd -u解锁 usermod: usermod -l锁定 usermod -u解锁 /etc/shadow中密码第一位
2.3 sudoPAM认证
ZZULI_Miriam的博客
05-25 5802
sudo    sudo命令允许一个通过sudoers文件指定的授权用户作为超级用户或者另外一个用户来执行命令。查看 /etc/sudoers 文件,在配置 sudo 时,建议按照 /etc/sudoers 的格式存放在 /etc/sudoers.d 中。[root@CentOS7 ~]#⮀cat /etc/sudoers ## Sudoers allows particular users to...
Linux操作系统PAM模块详解与实例
"PAM模块是Linux操作系统中的可插拔认证模块,用于统一管理和控制系统的认证过程。它解决了不同应用程序各自拥有独立验证机制的问题,提供了一套通用的验证接口。PAM允许管理员通过配置文件定制认证策略,增强系统的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值