系统安全及应用_pam wheel.so trust use uid-CSDN博客

本文链接：https://blog.csdn.net/weixin_52190986/article/details/125159295

📃系统安全及应用大纲
- 账号安全
- 密码安全控制
- 命令历史限制
- 限制su命令用户
- sudo提权
- 限制登录端
- 网络端口扫描
- 拓展
🔖知识点
- 账号安全
  - 1.锁定etc/passwd文件和etc/shadown文件使其不能对文件进程编写，从而导致无法创建新用户
    - 锁定：chattr +i xxxx（需要锁定文件的绝对路径）
    - 查询是否锁定：lsattr xxxx（需要查看的文件的绝对路径）
    - 解锁：chattr -i xxxx（需要解锁文件的绝对路径）
  - 2.使用usermod -L （用户侧）passwd -l（密码侧）锁定用户，使其无法登录，也可以使用usermod -U和passwd -u解锁密码
- 密码安全控制
  - 1.通过设定密码的有效期，多久修改，最小长度等来对密码安全进行控制
    - vi /etc/login.defs
    - PASS_MAX_DAYS 99999（设置密码有效期30天默认99999）
    - PASS_MIN_DAYS 0（表示自上次修改密码以来，最少隔多少天后用户才能再次修改密码，默认值是 0）
    - PASS_MIN_LEN 5 （密码最小长度，对于root无效）
    - PASS_WARN_AGE 7 （指定在密码到期前多少天，系统就开始通过用户密码即将到期，默认为 7 天。）
- 命令历史限制
  - 1.进入系统环境变量，设置历史命令的长度，配置完之后使用source xxxx（该文件的绝对路径）对环境变量进行刷新生效
    - vim /etc/profile (进入环境变量文件)
    - 更改HISTSIZE的数值
    - 保存退出并使用source /etc/profile 加载环境变量
  - 清除history
    - history -c临时清除
    - 但是由于系统的特性内存的数据将同步到硬盘中保存，所以重启之后还会显示吗，所以我们想要永久删除就必须将命令存储的文件找出删除，这样就可以保证重启时不会再显示之前的命令
    - 我们先找到history所在的隐藏文件位于家目录下的.bash_history，然后我们把里面的数据删除，或直接删除这个文件就可以完成永久清除
    - 当然我们想偷懒的时候，每次退出自动清除历史，可以在/etc/skel/.bash_logout 下面写删除home下的history隐藏文件就可以实现退出清除历史的功能（rm -f $HOME/.bash_history）
  - 终端自动注销
    - 防止终端长时间存在我们可以设置闲置时间自动退出，所以我们进入全局环境变量给它新增outtime，vim /etc/profile 进去之后添加export TMOUT=XXXX(多少秒不使用就会自动退出)
- 限制切换命令
  - 为了防止随便谁都可以切换目录，所以我们将要更精细的控制，此时pam_wheel模块可以帮助我们，进入/etc/pam.d/su中进行对wheel模块的编辑
  - #auth sufficient pam_rootak.so默认打开，root用户切换到普通用户不需要密码
  - #auth sufficient pam_wheel.so trust use_uidwheel成员su到root不用输密码
  - #auth sufficient pam_wheel.so use_uid非wheel组用户无法使用su命令
  - 当全部注销，代表 root切换普通用户也需要密码
  - #auth sufficient pam_rootak.so和#auth sufficient pam_wheel.so use_uid开启后只有root用户和while组内用户才可以切换
  - 这些就是wheel模块可以带来的功能
  - 所以我们为了精细管理，先将用户加入wheel组gpasswd -a lis wheel
  - 然后就可以对三方目标进行管理：root，wheel组用户，普通用户
  - su吗命令的切换操作会被记录到安全日志/var/log/secure
  - pam认证：
- sudo机制提升权限
  - 当普通用户需要频繁使用root权限时，使sudo进行授权，短暂的提升权限
  - 自定义sudo指令需要在对etc/sudoers使用visudo工具进行编辑
  - root用户通过sudo给予写相应的权限，编写格式为zhouyan(用户名) localhost(主机名) =（root） NOPASSWD(使用cd命令时不需要密码) : /usr/bin/cd(命令的绝对路径)
  - sudo的部分参数：
    - sudo -l：查看当前用户使用sudo后的权限
    - sudo-v：运行sudo输入密码后在短时间内不用输入口令进行sudo操作
    - sudo-k：删除-v的效果，下一个sudo命令需要密码
- 限制登录终端
  - 进入/etc/securetty编辑，注释某些终端，从而完成指定用户登录终端的效果
  - 创建/etc/nologin，非root用户无法登录，用于维护使用
- 网络端口扫描nmap
  - 1.网络端口取值范围：0~65535 ，但是0的话是预留端口，所以一般可用端口为1~65535
  - 2.端口扫描几个参数:nmap -sT扫描常用的TCP端口
  - namp -sU扫描常用的UDP端口
  - namp -sP类似PIng检测，可以指定网段范围查找
  - 3.对内核做优化，进内核配置文件/etc/sysctl.conf进行修改之后需要使用sysctl -p 进行刷新生效
- 扩展（通过PAM模块防止暴力破解）
  - 1.进入熟悉的pam.d目录，找到ssdh文件进行编辑/etc/pam.d/ssdh
  - 2.添加代码auth required pam_tally2.so deny unlock_time=600 even_deny_root root_unlock_time=1200
🖍重点
- 1.了解PAM安全认证的流程
- 2.限制su的几个选项组合搭配的效果
- 2.了解到系统读取的流程，先内存，在同步到硬盘
📌难点
- su限制登录的各个组合命令
🗞笔记总结
- 本章就是对系统进行安全的优化，从用户登录，密码安全，su切换，sudo提权，和历史命令进行限制。
🔗使用计算关联链接
- Linux系统pam认证详解-良许Linux教程网 pam认证
- netstat 命令详解_IT云清的博客-CSDN博客_netstat netstat命令详解