linux安全机制命令,Linux系统安全及应用—账号安全控制(九)

最新推荐文章于 2023-07-11 17:00:05 发布
最新推荐文章于 2023-07-11 17:00:05 发布
阅读量161 收藏
点赞数
文章标签: linux安全机制命令

Linux的系统安全及应用我将分三部分来讲解理论跟实践相结合,此文先带大家了解一下账号安全控制!!!

(一)基本安全措施

用户账号是计算机使用者的身份凭证或标识,每个要访问系统资源的人,必须凭借其用 户账号才能进入计算机。在 Linux 系统中,提供了多种机制来确保用户账号的正当、安全使 用。

1,系统账号清理将非登录用户的shell设为/sbin/nologin(vim /etc/passwd)

锁定长期不使用的账号(passwd或者usermod)

删除无用的账号(userdel)

锁定账号文件passwd,shadow

锁定文件并查看状态—chattr,lsattr[root@localhost ~]# lsattr /etc/passwd /etc/shadow  查看状态

---------------- /etc/passwd

---------------- /etc/shadow

[root@localhost ~]# chattr +i /etc/passwd /etc/shadow  锁定账号文件

[root@localhost ~]# lsattr /etc/passwd /etc/shadow  查看此时状态为i锁定状态

----i----------- /etc/passwd

----i----------- /etc/shadow

[root@localhost ~]# useradd zhangsan   可以尝试添加一个用户

useradd:无法打开 /etc/passwd

[root@localhost ~]# tail -3 /etc/passwd   因为passwd文件锁定所以无法添加

postfix:x:89:89::/var/spool/postfix:/sbin/nologin

tcpdump:x:72:72::/:/sbin/nologin

test1:x:1000:1000:test1:/home/test1:/bin/bash

[root@localhost ~]# chattr -i /etc/passwd /etc/shadow   解锁账号文件

fcb2351e42b81cd7dcd9e26425fbf509.png

2,密码安全控制设置密码有效期

要求用户下次登录时修改密码

设置密码有效期——适用于新建用户

编辑配置文件/etc/login.defs[root@localhost ~]# vim /etc/login.defs  编辑配置文件信息

32f0d087de53a2bd6643040dde1d6ff7.png

b52f854fed3509a1ba3113366c6ffa08.png

4aed3b45f825aff196d9f8d60dab692c.png

设置密码的有效期——适用于已有用户[root@localhost ~]# chage -M 30 zhangsan  设置已有用户的密码有效期

c29229e3282b516341c016dac3533804.png

要求用户下次登录时修改密码(先用passwd把李四设置一个密码)[root@localhost ~]# chage -d 0 lisi   设置李四用户在下次登录时修改密码

97c8d14ac5e27431e646468e688f6653.png

登录进去需要设置新的密码,先输入当前你设置的密码

8cb7376aa1bd46a3f5bda9197cd54a58.png

密码要符合不能过于简单,不能连续的字母和数字,有效密码例如:qwer1995

a21e8ca21d67b715576daf0893f89f7e.png

3,命令历史限制减少记录的命令条数

注销时自动清空命令历史

设置你的系统命令历史限制(全局/etc/profile)[root@localhost ~]# vim /etc/profile  配置系统环境变量的配置文件

f5bfd600a2c7b5216f6a35019a15a860.png

49be4e4439e0eac8523330f90de900b8.png

注销时自动清空命令历史——设置用户的个人配置文件~/.bash_logout

3fd597b6304d64361f36c9dbffbd49c3.png

5f4a1fad7ab9b8ec7803284592e89613.png

终端自动注销——限制600秒自动注销[root@localhost ~]# vim /etc/profile  配置系统环境变量的配置文件

ce4022a560442e0199749b393c7f90f6.png

(二)用户切换与提权,PAM认证

使用su命令切换用户

用途及方法用途:切换用户

格式:su - 目标用户

密码验证root>任意用户,不验证密码

普通用户>其他用户,验证目标用户的密码

86b01ba1ac67bda6e9595c33520b24e7.png

限制使用su命令的用户将允许使用su命令的用户加入wheel组(安全组)

启用pam_wheel认证模块vim /etc/pam.d/su 启用pam_wheel模块 修改他的配置文件

d177228ee44794787128bc92912a3685.png

这时在用zhangsna去切换管理员的账号就权限不够不能切换了

b05fa3ee3e8f173fd4f503ac548ae2e7.png

我们用root用户将zhangsan用户加入到wheel组中,就又可以切换管理员了

02f2e86650085d5748527cb0fb788da0.png

查看su操作记录安全日志文件:/var/log/secure

su命令的安全隐患默认情况下,任何用户都允许使用su命令,从而有机会反复尝试其他用户的登录密码,带来安全风险

为加强su的使用控制,可以借助PAM认证模块,只允许极个别用户使用su命令进行切换

PAM可插拔式认证模块,他是一种高效而且灵活便利的用户级别的认证方式,他也是当前Linux服务器普遍使用的认证方式pam认证一般遵循的顺序:service>pam(配置文件)>pam_*.so

pam认证首先要确定哪一项服务,然后加载相应的pam配置文件(/etc/pam.d)下,最后调用认证文件(/lib/security)进行安全认证

用户访问服务器的时候,服务器的某一个服务程序把用户的请求发送到pam模块进行认证

不通的应用程序所对应的的pam模块也是不同的

查看某个程序是否支持pam认证,可用ls命令进行查看,例如查看su是否支持pam模块认证(ls /etc/pam.d | grep su)

查看su的pam配置文件:cat /etc/pam.d/su

每一行都是一个独立的认证过程

每一行可以区分为三个字段(认证类型,控制类型,pam模块及其参数)

PAM安全认证流程

8ed87f68137ca48316919dde2c8ce92f.png

使用sudo机制提升权限

sudo的用途及用法用途:以其他用户身份(如root)执行授权的命令

用法:sudo 授权命令

配置sudo授权visudo或者vim /etc/sudoers

记录格式:用户 主机名列表+命令程序列表

我们没有配置授权的时候使用sudo修改网卡ip信息

6aa6c362169463144e54c6480207ba0c.png

我们配置一下sudo授权[root@localhost ~]# visudo  配置授权信息

f230e6b9d7bb2aec9cefb4129bf26851.png

这时我们就可以使用sudo修改网卡的ip地址了

08650d022266f1c61d014d03c0c2ec77.png

查看sudo操作记录需启用Defaults logfile配置

默认日志文件:/var/log/sudo

使用visudo添加日志启用配置

35b3895d85af10cc89b539fe53050de0.png

查看sudo操作过程的日志文件

5dac7bf2189230cee69e116b5e11fa64.png

后两个部分在下一遍文章中体现

谢谢阅读!!!

阳光泉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux系统用户和用户组管理命令
weixin_47928937的博客
06-15 533
1、用户组管理 cat /etc/group 查看用户组 用户名、口令(通常为空或x)、用户组识别号 groupadd 用户组 groupadd nsw 添加用户组 groupmod -n 新用户组 旧用户组 groupmod niesiwei nsw 修改用户组名 groupdel 用户组 group niesiwei 删除用户组 2、用户管理 cat /etc/passwd 查看用户 用户名、口令(通常为空或x)、用...
安全关闭 Linux 的方式
chenxizhan1995的博客
03-24 9365
安全关闭 Linux 的方式 关机命令 $ sudo sync # 把内存中的数据缓存写入硬盘 $ sudo shutdown now # 立刻关机 在Linux系统中,为了加快数据的读取速度,在默认的情况中, 某些已经加载内存中的数据不会直接被写回硬盘,而是先缓存在内存当中,如此一来, 如果一个数据被你重复的改写,那么由于他尚未被写入硬盘中,因此可以直接由内存当中读取出来, 在速度上一定是快...
linux下用户和组的管理,linux用户和组管理常见命令
weixin_32631729的博客
04-28 184
本文总结了一些linux用户和组管理常见命令。供大家参考,具体如下:1、用户隶属于用户组的。2、用户与用户组配置文件1)用户组配置文件/etc/group第一列:用户组的组名第二列:组密码(真正的密码存储在了gshadow中)第三列:用户组组ID,用户组唯一标识组ID为0的是超级用户组组ID为1-499是系统用户组组ID大于500是用户自定义组第四列:组成员2)用户组密码配置文件/etc/gsha...
linux关闭防火墙命令,linux关闭防火墙命令
weixin_33581873的博客
05-12 1784
linux中防火墙的开启和关闭是可以通过命令来执行的,那么具体是哪个命令呢?下面由学习啦小编为大家整理了linux关闭防火墙的相关命令,希望对大家有所帮助。1.Linux关闭防火墙命令1) 永久性生效,重启后不会复原开启:chkconfig iptables on关闭:chkconfig iptables off2) 即时生效,重启后复原开启:service iptables start关闭:s...
centos7.5 修改root密码异常
ujs_lifazhu的专栏
02-26 1763
检查系统日志car /var/log/secure 发现 PAM (sudo) illegal module type: password passwd: PAM pam_parse: expecting return value; [... ]
Linux--系统安全应用(一)(账号安全控制
Xucf1
02-02 1740
文章目录一、账号安全控制1.基本安全措施1.1 系统账号清理1.2 密码安全控制1.3 命令历史限制1.4 终端自动注销2.用户切换与提权2.1 su 命令——切换用户2.2 sudo 命令——提升执行权限2.2.1 添加授权2.2.2 通过 sudo 执行特权命令3.补充:PAM 安全认证3.1 PAM 及其作用3.2 PAM 认证原理3.3 PAM 认证的构成3.4 PAM 认证类型3.5 PAM 控制类型 一、账号安全控制 用户账号,是计算机使用者的身份凭证或标识,每一个要访问系统资源的人,必须凭
Linux操作系统安全
04-10
Linux 操作系统安全知识体系 ...Linux 操作系统安全知识体系涵盖了账户安全、文件系统安全、访问控制、日志审计和网络安全等多个方面,旨在保护 Linux 操作系统免受未经授权的访问、使用、披露、修改或破坏。
Linux下必须要学的系统安全命令第1/4页
09-16
Linux系统安全命令详解 Linux系统安全命令Linux系统管理员不可或缺的重要知识点,本文将对Linux系统安全命令进行详细的介绍。 Linux系统和Windows NT/2000系统一样是一个多用户的系统,但是它们之间有不少重要的...
linux系统安全配置要求
03-27
Linux 系统安全配置要求 Linux 系统安全配置要求是指为了确保 Linux 系统的安全性,需要对系统进行的一系列配置和检查。这些配置和检查项涵盖了账户安全、口令策略、用户组管理等方面,以确保系统的安全和稳定。 1...
Linux 创建文件的12种方法总结
最新发布
天天的博客
07-11 3万+
命令通常用于脚本、批处理文件。命令可以创建一个新的文件,该命令回车后不会立即结束,可以输入添加到新文件的内容后按 Ctrl+C 或者 Ctrl+D 来结束,也可以使用。通常用于将一个命令的输出重定向到一个新文件中,如果没有命令,则会创建一个 0KB 的空文件。of=文件名:输出文件名,缺省为标准输出。if=文件名:输入文件名,缺省为标准输入。ibs=bytes:一次读入bytes个字节,即指定一个块大小为bytes个字节。obs=bytes:一次输出bytes个字节,即指定一个块大小为bytes个字节。
SUSE Linux常用命令
yu829的专栏
03-17 1万+
1.1.1.  硬件管理 1.1.1.1. 基本配置 CPU个数查看: # more /proc/cpuinfo # top 内存大小检查: #grep MemTotal /proc/meminfo 查看与修改主机名: # hostname 修改完毕后,系统提示重启小型机,然后请检查/etc/hosts文件是否正确,并修改Oracle监听程序配置文件中的机器名。 1.1.1.2
栈溢出需关闭的安全保护机制
跃祥博客
03-27 3794
系统环境:Linux 4.8.0-36-generic x86_64DISTRIB_DESCRIPTION="Ubuntu 16.04.2 LTS"gcc (Ubuntu 5.4.0-6ubuntu1~16.04.4) 5.4.0 20160609关闭栈溢出保护的指令:1. 编译需加上的指令:gcc -g hello.c -o hello -z execstack -fno-stack-prote...
Linux简单命令之服务控制和安全开关
qq_50929489的博客
09-19 2685
Linux简单命令之服务控制和安全开关
Linux关闭防火墙命令
chengxuyuan316的博客
07-07 3万+
Linux关闭,打开防火墙
系统安全应用
ver_mouth__的博客
04-07 5418
一:账号安全控制 1.1系统账号清理 将非登录用户的shell设为/sbin/nologin 锁定长期不使用的账号 删除无用的账号 锁定账号文件passwd,shadow 锁定账号文件passwd无法创建新用户,可以修改已有用户的密码 锁定账号文件shadow无法创建新用户也不可以更改已有用户的密码 1.2密码安全控制 设置密码有效期 要求用户下次登录时修改密码 chage -M日期用户 【设置用户密码有效期】 chage -E xxxx...
Linux——系统安全应用(开关机安全机制、系统弱口令检测、NMAP)
weixin_69543697的博客
06-07 910
nmap扫描
linux如何创建文件
热门推荐
cj_eryue的博客
07-29 11万+
linux创建文件的方法: 1、使用touch命令; 2、使用vi和vim命令; 3、使用>、>>命令; 4、使用cp命令; 5、使用cat命令
修改密码期限
09-22 1534
[root@linuxidc ~]# chage --help Usage: chage [options] user Options: -d, --lastday LAST_DAY set last password change to LAST_DAY -E, --expiredate EXPIRE_DATE set account expiration dat
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值