[Linux系统]系统安全及应用一-CSDN博客

本文链接：https://blog.csdn.net/wang_dian1/article/details/130106410

系统安全及应用

一、账号安全基本措施
二、使用su命令切换用户
三、PAM安全认证
四、使用sudo机制提升权限

一、账号安全基本措施

1.1系统账号清理

1.1.1将非登录用户的shell设为/sbin/nologin

usmod -s /sbin/nologin 用户名

1.1.2锁定长期不使用的账号

usermod -L passwd -l

1.1.3删除无用的账号

usermdel -r

1.1.4锁定账号文件文件chattr

选项	作用
+i	锁定文件
lsttr	查看文件状态
-i	解锁文件

在这里插入图片描述

1.1.5查看文件校验和md5sum

在这里插入图片描述

1.2密码安全控制

1.2.1设置密码有效期

vim /etc/login.defs （仅适用新建的用户）
chage -M 时间用户名（适用于已有的用户）
chage -d 0 用户名（强制用户在下次登录修改密码）

在这里插入图片描述

chage -M 时间用户名（适用于已有的用户）

chage -d 0 用户名（强制用户在下次登录修改密码）

会把shadow文件的第三个字段修改为0

1.3历史命令限制

1.3.1 减少记录命令的条数

/etc/profile
在这里插入图片描述

1.3.1登录时自动清空历史命令

history -c，清空历史命令
在这里插入图片描述
在/etc/profile,设置

在/etc/bahsrc/设置

1.4终端自动注销

1.4.1闲置300秒后自动注销

在/etc/profile设置
在这里插入图片描述

二、使用su命令切换用户

2.1用途及用法

用途：切换用户
格式： su - 用户（‘-’会自动切换为当前用户的家目录，及shell环境）

2.1.1密码验证

root 切换任意用户，不验证密码
普通用户切换其他用户，验证目标用户密码

2.2限制用户使用su命令

（1）加入wheel组

在这里插入图片描述

（2）进入/etc/pam.d/su把第二行和第四行注释取消

在这里插入图片描述

三、PAM安全认证

是一种高效且灵活便利的用户级别的认证方式
也是当前LIinux服务器普遍使用的认证方式

3.1PAM认证原理

3.1.1一般遵循的顺序

Service（服务）——PAM （配置文件）——pam_*.so
首先要确认哪一项服务，然后加载相应的PAM配置文件（/etc/pam.d），最后调用认证文件（/lib64/ ）进行安全认证
用户访问服务器时，服务器的某个服务程序把用户的请求发送到PAM模块进行认证
不同的应用程序对应的PAM模块是不同的

3.2PAM认证构成

3.2.1第一列代表认证模块类型

auth: 对用户身份进行识别，如提示输入密码，判断是否为root.
agcount; 对账号各项属性进行检查，如是否允许登求系统，账号是否已经过期，是否达到最大用户数等。
password: 使用用户信息来更新数据，如修改用户密码
sssion: 定义登采前以及退出后所要进行的会话操作管理，如登录连接信息，用户数据的打开和关闭，挂裁文件系统

3.2.2第二列代表PM控制标记

required:表示需要这回一个成功值，如果这回失败，不会立刻将失败结果这回，而是继续进行同类型的下一证，所有此类型的模块都执行完成后，再这回失败
requisite: 与required类似，但如果此模块返回失败，则立刻返回失败并表示此类型失败。
optional:不进行成功与否的返同，一般不用予验证，只是张示信息（通常用卡 aesaion 为型)
include;表示在验证过程中调用其他的PM置文件。比如很多应用通过完整调用/etc/pam,d/ayatem-ath主要负责用户登录系统的认证工作)来实现认证而不需要承新退一步写配置项。