Linux系统账号安全和登录控制（安全很重要）

账号安全

本章结构

账号安全控制

系统引导和登录控制

一、账号安全的措施

1.1、系统账号清理

1.1.1、措施一：将非登录用户的shell设为/sbin/nologin

格式：

usermod -s /sbin/nologin 用户名  #/sbin/nologin是不可登录shell

操作：

1.1.2、措施二：锁定长期不使用的账号

格式：

usermod -L 用户名
passwd -l 用户名
passwd -S（大写） 用户名

操作：

1.1.3、措施三：删除无用的账号

格式：

userdel [-r] 用户名

操作：

1.1.4、措施四：锁定账号文件passwd，shadow（针对的是全部账号，对root用户也同样适用）

格式：

chattr +i /etc/passwd  /etc/shadow  #锁定账号文件
lsattr /etc/passwd /etc/shadow #并查看状态
chattr -i /etc/passwd  /etc/shadow #解锁

操作：

编辑不成功，解锁之后才能编辑：

**注意：**后期我们也可以通过写shell脚本监控账号密码状态

锁定后root用户此时也修改不了密码

操作：

修改密码尝试：

解锁后：

1.2、密码安全控制

1.2.1、新用户密码有效期设置

• 设置密码有效期
• 要求用户下次登录时修改密码
• 密码配置文件 /etc/login.defs

说明：修改密码配置文件**，适用于新建用户**

介绍一下密码配置文件：/etc/login.defs

###################密码设置信息
PASS_MAX_DAYS   99999  #密码最大有效天数
PASS_MIN_DAYS   0 #最小有效天数
PASS_MIN_LEN    5 #密码最最小长度
PASS_WARN_AGE   7 #密码过期警告时间
###############用户的UID范围西信息
# Min/max values for automatic uid selection in useradd
#就是普通用户的UID范围
UID_MIN                  1000
UID_MAX                 60000
# System accounts 
#系统用户UID的范围
SYS_UID_MIN               201
SYS_UID_MAX               999

普通用户的UID号范围 100-60000

系统用户的UID范围 201-999

修改下次登录时间：PASS_MAX_DAYS 30

方式：可以直接修改配置文件里面原来的 密码有效期

也可以在最后一行

思路：

#先创建一个用户：lisi
#修改密码配置文件/etc/login.def里面的PASS_MAX_DAYS   +时间
#创建一个账户：cheng 
#vim /etc/shadow 查看： 显示lisi 有效天数没变，但是qing的有效天数变成了30天

操作：

/etc/login.defs文件修改

步骤：

/etc/shadow账号文件信息

注意：这里的新建用户是指修改密码配置文件/etc/login.defs修改后才建立的

1.2.2、老用户密码有效期修改

格式：

chage -M 天数  用户名
例：chage -M 30  lisi

操作：

1.2.3、强制下次登录更改密码

格式：

chage  -d 0 用户名
例子：
chage -d 0 lisi
 cat /etc/shadow | grep lisi #查看

操作：

1.3、命令历史限制

1.3.1、命令历史限制（/etc/profile全局系统配置文件）

说明：为什么命令历史限制可以更安全呢？因为历史命令里面可能会包含你之前的一些操作明命令，如果有你的账户创建的信息的话高呢容易破解，会造成风险

• 减少记录的命令条数

格式：

history #查看N多密码
history + 数字 #查最近使用的密码（几条看数字）
###########命令历史限制步骤
# vi /etc/profile 
# 最后一行加入 export HISTSIZE=200  #就是限制只能查看最近的两百条命令信息，数字自己根据情况修改，也可以在原本的默认上面是进行修改
# source /etc/profile #修改之后进行刷新
注：./etc/profile  #效果也是刷新

思路：由于之前操作了history -c清楚了命令，再查看是（暂时）显示不出以前的命令，重启一下就可以显示历史命令了

操作：

init 6重新查看历史命令

然后查看及修改全局配置文件/etc/profile

原：

现：

刷新：

查看：

全局配置文件/etc/bashrc,对所有用户有效

自己家目录中的 :vim .bashrc

vim /etc/local.rc

1.3.2、登录时自动清空命令历史（history -c ）

**说明：**虽然清空之后不显示历史命令，但其实历史操作命令都在 ~/.bash_history里面

格式：

history -c #清空历史命令

操作：

注意：虽然在此处看不到历史命令，但是历史命令都在家目录下的.bash_history文件里（包括登录前的历史命令）

查看：

.bash_history文件信息

1.4、终端自动注销

闲置 [ n ] 秒后自动注销。（n为数字）

格式：

vim /etc/profile #编辑/etc/profile文件
export TMOUT=60 #设置全局自动注销时间

实例操作：

1.5、使用su命令切换用户

1.5.1、 用途和格式

• 用途：Substitute User，切换用户
• 格式：su - 目标用户（横杠“ - ”代表切换到目标用户的家目录）

1.5.2、密码验证

• root - - - >任意用户，不验证密码
• 普通用户- - - >其他用户，验证目标用户的密码
• 带 “ - ” 表示将使用目标用户的登录Shell环境

1.5.3、格式详情

切换用户
 su - zhangsan          #root切换普通用户
 su - root               #普通用户切换其他用户
查看当前登录的用户
 whoami                 #显示当前登录的用户

1.5.4、实例操作

1. 6、限制使用su命令的用户

• 将允许使用su命令的用户加入wheel组中；
• 启用pam_wheel 认证模块

1.6.1 操作步骤格式：

gpasswd -a zhangsan wheel                       #将希望可以使用su命令的用户加入到wheel组中
vim /etc/pam.d/su                                #编辑/etc/pam.d/su配置文件
auth  required  pam_wheel.so use_uid        #将此行的注释取消即可，表示在wheel组的成员可以使用su命令，其他成员则不能使用su命令

1.6.2、 实例操作

1.7、Linux中的PAM安全认证

1.7.1、su命令的安全隐患

默认情况下，任何用户都允许使用su命令，有机会反复尝试其他用户(如root) 的登录密码，带来安全风险；
为了加强su命令的使用控制，可借助于PAM认证模块,只允许极个别用户使用su命令进行切换。

1.7.2、PAM(Pluggable Authentication Modules)可插拔式认证模块

• 是一种高效而且灵活便利的用户级别的认证方式；
• 也是当前Linux服务器普遍使用的认证方式。

1.7.3、PAM认证原理:

• PAM认证一般遵循的顺序: Service (服务) --> PAM (配置文件) --> pam_*.so;，
• PAM认证首先要确定哪一项应用服务，然后加载相应的PAM的配置文件(位于/etc/pam.d下)，最后调用认证模块(位于/lib64/security/下）进行安全认证。
• 用户访问服务器的时候，服务器的某一个服务程序把用户的请求发送到PAM模块进行认证。不同的应用程序所对应的PAM模块也是不同的。
• 如果想查看某个程序是否支持PAM认证，可以用ls命令进行查看/etc/pam.d/。
• PAM的配置文件中的每一行都是一个独立的认证过程，它们按从上往下的顺序依次由PAM模块调用.

1.8、使用sudo机制提升权限

1. 8.1 sudo命令的用途及用法

• 用途 ：以其他用户身份（如root执行授权的命令）
• 用法：sudo 权限命令

1.8.2、配置sudo授权

• visudo或者vi /etc/sudoers（此文件没有写的权限，保存时必须 wq！强制执行操作）
• 记录格式：用户 主机名=命令程序列表
• 可以使用通配符“ * ”号任意值和“ ！”号进行取反操作。
• 权限生效后，有5分钟的闲置时间，超过5分钟没有操作则需要再输入密码。

8.3 操作格式

用户 主机名=命令程序列表
用户 主机名=（用户）命令程序列表
zhangsan ALL=(root) /sbin/ifconfig   sudo -l                                                      #查询授权的sudo操作

• 用户: 直接授权指定的用户名，或采用“&组名"的形式(授权一个组的所有用户)。
• 主机名:使用此规则的主机名。没配置过主机名时可用localhost，有配过主机名则用实际的主机名，ALL则代表所有主机。
• (用户):用户能够以何种身份来执行命令。此项可省略，缺省时以root用户的身份来运行命令。
• 命令程序列表:允许授权的用户通过sudo方式执行的特权命令，需填写命令程序的完整路径，多个命令之间以逗号“,"进行分隔。ALL则代表系统中的所有命令
• 执行调用格式为（用户名 网络中的主机=（执行命令的目标用户） 执行的命令范围）

1.8.4 、启用sudo操作日志

• 需启用Defaults logfile配置
• 默认日志文件：/var/log/sudo
• 操作：在/etc/sudoers末尾添加Defaults logfile="/var/log/sudo"

1.8.5、实例操作

1.8.5.1、wheel组的成员可以操作sudo，而非wheel组则不可以，查找原因

1.8.5.2 设置指定用户可以使用sudo指定的命令，并测试

1.8.5.2.1 进入vim /etc/sudoers ,将wheel组权限加“#”号注释，并在末尾添加配置，最后强制保存并退出

1.8.5.2.2 进行测试

1.8.5.3 设置执行sudo命令时不需要输入密码，并测试

1.8.5.4 在/car/log下创建sudo日志文件，用来存储用户使用的sudo命令记录，并测试

二、系统引导和登录控制

1、开关机安全控制

1.1 调整BIOS引导设置

将第一引导设备设为当前系统所在硬盘；
禁止从其他设备(光盘、 U盘、网络)引导系统；
将安全级别设为setup,并设置管理员密码。

1.2.GRUB限制

使用grub2-mkpasswd-pbkdf2生成密钥；
修改/etc/grub.d/00_ header文件中， 添加密码记录；
生成新的grub.cfg配置文件。

1.3 限制更改GRUB引导参数

通常情况下在系统开机进入GRUB菜单时，按e键可以查看并修改GRUB引导参数，这对服务器是一个极大的威胁。可以为GRUB菜单设置一个密码，只有提供正确的密码才被允许修改引导参数。

1.4 实例操作

2、限制root只在安全终端登录

在Linux系统中，login 程序会读取/etc/securetty文件，以决定允许root 用户从哪些终端(安全终端)登录系统

修改此配置文件：vim /etc/ securetty

2.1 终端介绍

• 安全终端配置：/etc/securetty
• tty1~ 6是文本型控制台，tty7 是X Window图形显示管理器。可以通过CtrI+Alt+F1 (F1-F7键) 切换到对应的登录控制台。

注：按ctrl+Alt+F1回到图形化界面

2.2 实例操作

2.2.1 设置不允许root用户使用tty5和tty6终端登录

2.2.2 设置完成后，重启主机，进行切换终端测试是否可以登录

2.2.3 再次修改配置文件，允许root用户可以在tty6终端登录，并测试

3、禁止普通用户登录

login程序会检查/etc/nologin文件是否存在，如果存在，则拒绝普通用户登录系统(root 用户不受限制)

操作方法：

第一步：创建**/etc/nologin文件**

第二步：删除nologin文件或重 启后恢复正常

3.1、实例操作

3.1.1 创建文件，并进行测试

3.1.2 删除文件，并进行测试