一、说明权限控制在等保测评里仅仅说了要求,但是怎么落地却基本没写,怎么说呢,比较抽象。所以,我觉得还是有必要了解一下centos系统大概有什么方法可以实现对用户的权限控制,不至于测评的时候完全不知道怎么测。这里我把我现在知道的关于权限控制的方法都列举出来,供大家参考参考。另外,我使用的是centos6。二、查看无论针对什么权限,以下三个文件至少需要查看的:/etc/passwd/etc/shadw...
一、说明
权限控制在等保测评里仅仅说了要求,但是怎么落地却基本没写,怎么说呢,比较抽象。
所以,我觉得还是有必要了解一下centos系统大概有什么方法可以实现对用户的权限控制,不至于测评的时候完全不知道怎么测。
这里我把我现在知道的关于权限控制的方法都列举出来,供大家参考参考。
另外,我使用的是centos6。
二、查看
无论针对什么权限,以下三个文件至少需要查看的:/etc/passwd
/etc/shadwo
/etc/group
通过这三个文件可以知道可登录的普通账户有哪些,以及用户组的情况,毕竟要判断用户的权限,至少应该知道用户的情况吧。
2.1. passwd
通过passwd文件,首先判断出哪些是普通用户、系统用户和超级用户(root)系统用户的uid在centos6中是大于0小于500的,500这个值的设置应该是在login.defs文件中。
然后判断出哪些用户不能登录,比如最后是/sbin/nologin以及/bin/false就不可登录。
2.2. shadow
通过shadow判断出哪些用户已经被不登录了。
2.2.1. 锁定或密码不可用
这里可以用passwd命令进行判断:[root@centos01 ~]# passwd -S cx
cx PS 2019-03-26 0 9999 7 99 (密码已设置,使用 SHA512 加密。)
里面的PS意思就是密码已设置。
然后shadow中可能的情况有(每一段的第一句是shadow中实际的行,第二句是用passwd -S username 查询出来的值):games:*:15980:0:99999:7:::
games LK 2013-10-02 0 99999 7 -1 (更改当前使用的认证方案。)
cx:*:17970:0:99999:7:::
cx LK 2019-03-15 0 99999 7 -1 (更改当前使用的认证方案。)
dbus:!!:17966::::::
dbus LK 2019-03-11 0 99999 7 -1 (密码已被锁定。)
cx:!:17970:0:99999:7:::
cx LK 2019-03-15 0 99999 7 -1 (密码已被锁定。)
cx::17970:0:99999:7:::
cx NP 2019-03-15 0 99999 7 -1 (密码为空。)
上面除了最后一段也就是空密码是可以登录外,其余的都不可以。
密码字符串开头,也就是第一个:的右边加上!或!!字符串,无论!或!!字符串的后面有或没有密码字符串(这里没有,都是空密码),都代表被锁定。
至于(更改当前使用的认证方案。),也是不能登录,这里的意思应该是因为密码字符串也是按照一定的格式存储的,比如告诉了系统用了哪种加密算法。
这样系统才知道当你输入密码后,要怎么对你输入的字符串进行加密,然后才能能拿来和shadow中的加密字符串进行对比。
你随便乱填的话,系统就认不出来了,也没法进行对比然后让你登录了。
比如你随便在密码字符串那输入一些字符串,其结果会显示为(更改当前使用的认证方案。):cx:djfhjdhfs:17970:0:99999:7:::
cx LK 2019-03-15 0 99999 7 -1 (更改当前使用的认证方案。)
2.2.2. 密码已经过期且已过宽恕期
如果设置了密码最长使用时间,且宽恕期也设置了,那么当密码过期,且宽恕期也过去了的话。
则该账号也无法登录,只有等具有权限的用户比如root来修改shadow文件了。
注意:如果仅仅是密码过期,则该账号仍然可登录,只要登录的时候修改密码即可。
虽然可以直接从shadow
最低0.47元/天 解锁文章
477
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
