Linux系统账号安全

最新推荐文章于 2023-06-24 16:23:29 发布
最新推荐文章于 2023-06-24 16:23:29 发布
阅读量3.2k 收藏
点赞数
文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44938203/article/details/121523161
版权

系统安全

文章目录

账号安全控制

账号安全基本措施

系统账号清理

  • 将非登录用户的shell设置为/sbin/nologin禁止用户登录
    • usermod -s /sbin/nologin 用户名
    • usermod -s /bin/false 用户名
  • 锁定长期不使用的账号
    • usermod -L 用户名
    • passwd -S 用户名
  • 删除无用账号
    • userdel -r 用户名
  • 锁定账号文件
    • chattr +i /etc/passwd /etc/shadow ##锁定
    • lsattr /etc/passwd /etc/shadow ##查看
    • chattr -i /etc/passwd /etc/shadow ##解锁

在这里插入图片描述

密码安全控制

  • 设置密码有效期
  • 要求用户下次登陆时修改密码
chage -M 30 pll  ##修改密码有效期为30天,适用于已有用户。
cat /etc/shadow | grep pll ##查看有效期

在这里插入图片描述

vi /etc/login.defs   ##进入密码配置文件

在这里插入图片描述

命令历史限制

  • 减少记录的目录条数

-在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

  • 登陆时自动清空历史命令

    vim ~/.bashrc         ##进入开机启动配置文件
echo '' > ~/.bashrc   ##自动清空历史命令

    在这里插入图片描述

终端自动注销

  • 限制500s后自动注销

    vim /etc/profile
export TMOUT=500       ##设置注销时间为500s
source /etc/profile    ##重新加载配置文件

在这里插入图片描述

su命令切换用户

  • 用途及用法

    • 用途:Substitute User ,切换用户

    • 格式

      su - 目标用户

  • 密码验证

    • root -->任意用户,不验证密码
    • 普通用户–>其他用户,验证目标用户的密码
    su -root

whoami     ##查看当前用户名

  • 限制使用su命令的用户

    • 将允许使用su命令的用户加入到wheel组
    • 启用pam_wheel认证模块
    • 查看su切换用户的操作记录
    vim /etc/pam.d/su

vim /var/log/secure  ##查看日志文件

开启第2行和第6行

在这里插入图片描述

在这里插入图片描述

Linux中的PAM安全认证

su命令的安全隐患

  • 默认情况下,任何用户都运行使用su命令,有机会反复尝试其他用户(root)密码

PAM可插拔式认证模块

  • 是一种高效而且灵活便利的用户级别的认证方式

  • 也是当前Linux服务器普遍使用的认证方式

PAM安全认证原理

  • 一般遵循的顺序

    .Service(服务)→PAM(配置文件)→pam *.so

  • 首先要确定哪一项服务,然后加载相应的PAM配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib64/security下)进行安全认证

  • 用户访问服务器时,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证

  • 不同的应用程序所对应的PAM模块是不同的

  • 如果想要查看某个程序是否支持PAM认证,可以使用ls命令,进行查看/etc/pam.d/

每一列的含义

在这里插入图片描述

第一列代表PAM认证模块类型auth对用户身份进行识别,如提示输入面膜,判断是否为root
account对用户身份进行识别,如提示输入面膜,判断是否为root
password对用户身份进行识别,如提示输入面膜,判断是否为root
session对用户身份进行识别,如提示输入面膜,判断是否为root
第二列代表PAM看着标记required表示需要返回一个成功值,如果返回失败,不会立即将失败结果返回,而是继续进行同类型的下一步验证,所有此类型的模块都执行完成后,再返回失败
requisite与required类似,但如果此模块返回失败,则立刻返回失败并表示此类型失败
sufficient如果此模块返回成功,则直接向程序返回成功,表示此类成功,如果失败,也不影响这类型的返回值
optional 不进行成功与否的返回,一般不用于验证,只是显示信息(通常用于session类型)
include 表示在验证过程中调用其他的 PAM 配置文件。比如很多应用通过完整调用/etc/pam.d/system-auth (主要负责用户登录系统的认证工作)来实现认证而不需要重新逐一去写配置项
第三列代表PAM模块默认是在/lib64/security/目录下,如果不在此默认路径下,要填写绝对路径
同一个模块,可以出现在不同的模块类型中,它在不同的类型中所执行的操作都不相同,这是由于每个模块针对不同的模块类型编制了不同的执行函数
第四列代表PAM模块参数根据所使用的模块进行添加 传递给模块的参数,参数可以有多个,之间用空格分隔开

PAM安全认证流程

在这里插入图片描述

即使不为人所道
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux操作系统安全
04-10
Linux 操作系统安全知识体系 Linux 操作系统安全是指保护 Linux 操作系统免受未经授权的访问、使用、披露、修改或破坏的安全措施。 Linux 操作系统安全知识体系涵盖了账户安全、文件系统安全、访问控制、日志审计、...
Linux账号安全
qq_57377057的博客
07-13 407
目录一、系统账号管理1.1、锁定,解锁账号 1.2、限制创建新用户二、限制su命令用户三、sudo机制提升权限 很多时候我们需要对一些账户进行清理或限制,如禁止登陆,禁止创建新用户等限制 除了 usermod -s /sbin/nologin 用户名 还有一些别的方法
linux账号安全控制
2301_77369997的博客
05-15 147
在底行输入:dn ALL=(root) /sbin/ifconfig,/bin/passwd:给dn用户赋予最小权限,然后保存退出即时生效。lsattr /etc/passwd /etc/shadow #查看文件状态。chattr +i /etc/passwd /etc/shadow #锁定文件。chattr -i /etc/passwd /etc/shadow #解锁文件。打开对所有用户使用su命令的限制修改配置文件:vim /etc/pam.d/su。
Linux 系统安全及应用(账号安全和引导登录控制)
zl965230的博客
04-17 303
在我们使用Linux系统时,除了用户创建的账号之外,还会产生系统或程序安装过程中产生的许多其他账号,除了超级用户root外,其他账号都是用来维护系统运作的,一般不允许登录,常见的非登录用户有bin、adm、mail、lp、nobody、ftp等。默认是在/lib64/security/目录下,如果不在此默认路径下,要填写绝对路径。[root@localhost log]# visudo //修改配置文件 -----------------------------即有 - 选项,切换用户身份更彻底;
Linux系统安全及应用
weixin_46254171的博客
06-24 116
M:指定密码保持有效的最大天数可以看到第3个字段被改为0,强制用户下次登陆时需要修改密码可以查看到再次登录是需要修改密码的,此时修改的密码会有要求,要求需大于8个字符。
Linux系统账户安全和登录控制详解
zcien的博客
12-04 1042
linux系统账户安全和登录控制详解附实验
linux系统安全配置要求
03-27
Linux 系统安全配置要求 Linux 系统安全配置要求是指为了确保 Linux 系统安全性,需要对系统进行的一系列配置和检查。这些配置和检查项涵盖了账户安全、口令策略、用户组管理等方面,以确保系统安全和稳定。 1...
Linux系统安全配置指南(基线).pdf
09-13
本文旨在提供一份 Linux 系统安全配置指南,旨在帮助系统管理员和安全专家对 Linux 系统进行安全配置和加固,以保护系统免受各种攻击和威胁。 权限与审计功能配置 在 Linux 系统中,权限管理是非常重要的一环。...
中国电信Linux操作系统安全配置规范.doc
11-16
本规范涵盖了 Linux 操作系统安全配置的各个方面,包括账号、口令、文献及目录权限、远程登录、补丁安全、日记安全规定、不必要的服务、端口、系统 Banner 设立、登录超时时间设立、删除潜在危险文献等。...
linux系统安全设置(R).pdf
09-13
Linux系统中,确保系统安全性是至关重要的。这篇文档主要介绍了强化Linux系统安全的六个关键步骤,旨在防止未经授权的访问和恶意操作。 首先,针对CTRL-ALT-DELETE快捷键重启机器的问题,这是许多Linux系统中的...
Linux安全之账户安全
weixin_44770698的博客
06-04 735
渗透测试学习
Linux系统账户安全及应用
shanjun12的博客
12-10 345
Linux系统账户安全及应用
Linux--系统安全及应用(一)(账号安全控制)
Xucf1
02-02 1500
文章目录一、账号安全控制1.基本安全措施1.1 系统账号清理1.2 密码安全控制1.3 命令历史限制1.4 终端自动注销2.用户切换与提权2.1 su 命令——切换用户2.2 sudo 命令——提升执行权限2.2.1 添加授权2.2.2 通过 sudo 执行特权命令3.补充:PAM 安全认证3.1 PAM 及其作用3.2 PAM 认证原理3.3 PAM 认证的构成3.4 PAM 认证类型3.5 PAM 控制类型 一、账号安全控制 用户账号,是计算机使用者的身份凭证或标识,每一个要访问系统资源的人,必须凭
Linux系统账户安全
持之以恒的锻炼,才能稳步向前
04-12 315
多敲,多练。
linux账号安全管理,保证Linux系统安全——帐号管理
weixin_32955207的博客
05-13 128
不论是Windows操做系统仍是Linux操做系统,想要登陆系统必需要有合法的帐户及密码。本篇博文主要介绍Linux系统下的帐户信息。web博文大纲:1、Linux系统的帐号及群组1.UID与GID;2.使用者帐号;(1)/etc/passwd文件结构;(2)/etc/shadow文件结构;3.有效群组与初始群组;(1)/etc/group文件结构;(2)有效群组与初始群组;(3)/etc/gsh...
Linux账号安全
肥猫警长的博客
09-15 1749
一、账号安全控制 1.基本安全措施 1.系统账号清理 将非登录用户的Shell设为/sbin/nologin (usermod -s /sbin/nologin yebai) 锁定长期不使用的账号 (usermod -L yebai) 删除无用的账号 (userdel -r yebai) 锁定账号文件passwd、shadow (password -S yebai) ###2.密码安全控制 设施密码有效期 chage -M 60 yebai vim /etc/login.defs 要求用户
linux系统安全 ------用户和账号和密码安全
朱海燕的博客日记
08-25 1279
1.删除或者禁用不必要的用户 原因解析:管理员应该定期的去检查/etc/passwd文件,查看主机上的启动用户,对于系统中已经不存在的用户,应及时将清理.对于在系统上创建的专门的执行用户,该用户一般只是作用户的执行者,无需登录Linux,比如ftp,apache,nginx等,这些用户是设置为禁止登录操作系统,这样作的目的是防止这类用户账号被作为入侵服务器的跳板. [root@local...
账号基本安全-Linux
weixin_41684949的博客
04-30 420
1.注释掉系统不需要的用户和用户组。不建议直接删除,当你需要某个用户时,自己重新添加会很麻烦。 cp /etc/password /var/.bak/etc //欲修改,先备份 vim /etc/passwd //编辑账号配置文件 cp /etc/group /var/.bak/etc vim /etc/group //备份并...
Linux的有效用户和实际用户及安全问题
约瑟夫的杂货店
02-26 881
主要参考: Linux进程的实际用户ID和有效用户ID 实际用户和有效用户 无死角理解保存设置用户ID,设置用户ID位,有效用户ID,实际用户ID 一. 概念 在Unix进程中涉及多个用户ID和用户组ID,包括如下: 实际用户ID和实际用户组ID:标识我是谁。也就是登录用户的uid和gid,比如我的Linux以simon登录,在Linux运行的所有的命令的实际用户ID...
Linux 操作系统安全管理
最新发布
09-12
Linux系统中,用户管理涉及三个文件,包括用户账号文件/etc/passwd、用户密码文件/etc/shadow和用户组文件/etc/group。通过管理这些文件,可以创建、修改和删除用户,设置用户的权限和归属组,以及限制用户的访问...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值