Linux
.bash_profile 登入
.bash_logout 登出
.bashrc alise 别名设置
.bash_history 历史
账号安全基本措施3-3
·命令历史限制
·减少记录的命令条数
·注销时自动清空命令历史
·终端自动注销
·闲置600秒后自动注销
使用su命令切换用户2-1
■用途及用法
●用途: Substitute User,切换用户
●格式 su-目标用户
■密码验证
●root→任意用户,不验证密码
●普通用户→其他用户,验证目标用户的密码
[jerry@localhost ~]$ su - root 带-选项表示将使用目标用户的登录Shell环境
口令:
[root@localhost ~]# whoami
root
三个ALL : 主机ip 获得root权限 所有命令
修改用户权限 vim /etc/sudoers
可通过visudo命令修改
[root@localhost ~]# usermod -L xx #锁定账号
[root@localhost ~]# passwd -S xx #查看账号状态
ysf LK 2017-12-22 0 99999 7 -1 (密码已被锁定。)
[root@localhost ~]# usermod -U xx #解锁账号
[root@localhost ~]# passwd -S xx
ysf PS 2017-12-22 0 99999 7 -1 (密码已设置,使用 SHA512 加密。)
[root@localhost ~]# passwd -l xx
锁定用户 xx 的密码 。
passwd: 操作成功
[root@localhost ~]# passwd -u xx
解锁用户 xx 的密码 。
passwd: 操作成功
使用chattr命令锁定、解锁文件,使用lsattr查看文件锁定情况
[root@localhost ~]# chattr +i /etc/passwd /etc/shadow #+i,锁定文件
[root@localhost ~]# lsattr /etc/passwd /etc/shadow #查看文件锁定情况
----i--------e- /etc/passwd
----i--------e- /etc/shadow
[root@localhost ~]# useradd xx #文件锁定,无法添加、删除用户,也不能更改用户的密码、登陆shell、宿主目录等属性
useradd: cannot open /etc/passwd
[root@localhost ~]# chattr -i /etc/passwd /etc/shadow #-i,解锁文件
[root@localhost ~]# useradd xx #正常创建用户
[root@localhost ~]#
密码安全控制
[root@localhost ~]# vim /etc/login.defs #适应于新建的用户
PASS_MAX_DAYS 30 #密码最多使用30天,必须更改密码
PASS_MIN_DAYS 0 #密码最少使用0天,才能更改密码
PASS_MIN_LEN 5 #可接受的密码长度
PASS_WARN_AGE 7 #密码到期前的警告时间
[root@localhost ~]# chage -M 30 xx #适用于以存在的用户,密码30天过期
[root@localhost ~]# chage -d 0 xx #下次登录时,必须更改密码
[root@localhost ~]# vim /etc/profile #适用于新登录用户
export TMOUT=600
[root@localhost ~]# TMOUT=600 #适用于当前用户
[root@localhost ~]# unset TMOUT #如果进行耗时较长的操作,避免打扰,可取消TMOUT变量
Linux中的PAM安全认证
■su命令的安全隐患
●默认情况下,任何用户都允许使用su命令,有机会反复
尝试其他用户(如root) 的登录密码,带来安全风险
●为了加强su命令的使用控制,可借助于PAM认证模块,
只允许极个别用户使用su命令进行切换
■PAM(Pluggable Authentication Modules)可插拔式认
证模块
●是一种高效而且灵活便利的用户级别的认证方式
●也是当前Linux服务器普遍使用的认证方式
只允许wheel组的成员使用 su 切换到root用户
端口号
sudo提升权限
[xx@localhost ~]$ ifconfig eth0:0 10.0.0.1/8 #未用sudo命令
SIOCSIFADDR: 权限不够
SIOCSIFFLAGS: 权限不够
[xx@localhost ~]$ sudo ifconfig eth0:0 10.0.0.1/8 #使用sudo命令
…… //省略部分内容
[sudo] password for yangshufan: #验证密码
[xx@localhost ~]$ ifconfig eth0:0 #查看命令,执行成功
eth0:0 Link encap:Ethernet HWaddr 00:0C:29:1C:B4:FB
inet addr:10.0.0.1 Bcast:10.255.255.255 Mask:255.0.0.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
[xx@localhost ~]$ sudo -l #查看获得哪些sudo授权
[sudo] password for xx:
用户 xx 可以在该主机上运行以下命令:
(root) /sbin/ifconfig
[root@localhost ~]# tail /var/log/sudo #可以看到用户的sudo操作记录
Dec 27 07:49:35 : xx : TTY=pts/0 ; PWD=/home/xx ; USER=root ;
COMMAND=/sbin/ifconfig eth0:0 10.0.0.1/8