Linux系统账户安全和登录控制详解

最新推荐文章于 2023-02-07 17:37:05 发布
最新推荐文章于 2023-02-07 17:37:05 发布
阅读量1k 收藏 2
点赞数
文章标签: linux 安全 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_59325762/article/details/128172070
版权

文章目录

一、账号安全基本措施

1、系统账号清理

1.1 将非登录用户的Shell设为/sbin/nologin

usermod -s /sbin/nologin 用户名

1.2 锁定长期不使用的账号

usermod -L   lili      #锁定账户方式一
usermod -Ulili     #解锁账户方式一
passwd -l lili     #锁定账户方式二
passwd -u   lili#解锁账户方式二

1.3 删除无用的账号

userdel [-r] 用户名
1.4 锁定账号文件 passwd、shadow

chattr +i /etc/passwd /etc/shadow
#锁定文件
 
Isattr /etc/passwd /etc/shadow
#查看状态
 
chattr -i /etc/passwd /etc/shadow
#解锁文件

1.4 chattr +i 命令解释:

设置了`i’属性的文件不能进行修改:你既不能删除它, 也不能给它重新命名,你不能对该文件创建链接, 而且也不能对该文件写入任何数据.只有超级用户可以设置或清除该属性.
修改用户密码(两种方法)

  • echo 密码 | passwd --stdin 用户名
  • passwd 用户名

1.5 实例操作

将非登录用户的Shell设为/sbin/nologin
在这里插入图片描述
在这里插入图片描述
锁定长期不使用的账号
在这里插入图片描述
删除无用的账号
在这里插入图片描述锁定账号文件 passwd、shadow
在这里插入图片描述

2、密码安全控制

2.1 方法一:修改密码配置文件

(密码配置文件为/etc/login.defs)——针对新用户,已有用户不能更改
vim /etc/login.defs #直接进去修改配置文件

PASS_MAX_DAYS   30   #密码有效期
PASS_MIN_DAYS   0    #最小修改密码时间间隔
PASS_MIN_LEN    5    #设置密码的长度
PASS_WARN_AGE   7    #密码过期提前多久进行警告

实例操作
在这里插入图片描述
在这里插入图片描述

2.2 修改已有用户的密码有效期——chage命令

chage 【选项】用户名  #举例:chage -M 30 lili  修改密码有效期为30               chage -d 0 lili  修改指定密码的最后修改时间,0表示下次登录要修改密码

chage 命令解释:
chage命令用于密码实效管理,该是用来修改帐号和密码的有效期限。它可以修改账号和密码的有效期  
在这里插入图片描述
实例操作

在这里插入图片描述在这里插入图片描述

3、命令历史记录限制

  • 减少记录的命令条数;
  • 登录时自动清空命令历史 ;
  • 系统默认保存1000条历史命令记录;
  • history -c 命令只可以临时清除记录(其实所有的文件都还保存- 在.bash_history ),重启后记录还在。

3.1 对历史命令的数量进行限制

vim /etc/profile                 #修改配置文件
export HISTSIZE=200        #修改命令历史记录数量最大为200,前面添加export为全局有效
source /etc/profile               #刷新配置文件,立即生效

3.2 设置登录时自动清空命令历史

vim .bashrc                     #修改.bashrc配置文件(每次切换bash都执行)vim /etc/profile                #修改/etc/profile配置文件(执行一次)
echo " " > ~/.bash_history

实例操作
1 对历史命令的数量进行限制
在这里插入图片描述在这里插入图片描述

2 设置登录时自动清空命令历史
在这里插入图片描述
在这里插入图片描述

4 终端自动注销

  • 闲置 [ n ] 秒后自动注销。(n为数字)
    格式:
vim /etc/profile                #编辑/etc/profile文件
export TMOUT=60     #设置全局自动注销时间

实例操作(设置闲置60秒后自动注销)
在这里插入图片描述

5、使用su命令切换用户

Substitute User,切换用户
格式:su - 目标用户(横杠“ - ”代表切换到目标用户的家目录)

5.1 密码验证

  • root - - - >任意用户,不验证密码
  • 普通用户- - - >其他用户,验证目标用户的密码
  • 带 “ - ” 表示将使用目标用户的登录Shell环境

5.2 格式详情

切换用户
 su - zhangsan          #root切换普通用户
 su - root               #普通用户切换其他用户
 
查看当前登录的用户
 whoami                 #显示当前登录的用户

实例操作
在这里插入图片描述
在这里插入图片描述

6、限制使用su命令的用户

  • 将允许使用su命令的用户加入wheel组中;
  • 启用pam_wheel 认证模块

格式:

gpasswd -a zhangsan wheel                       #将希望可以使用su命令的用户加入到wheel组中
vim /etc/pam.d/su                                #编辑/etc/pam.d/su配置文件
auth  required  pam_wheel.so use_uid        #将此行的注释取消即可,表示在wheel组的成员可以使用su命令,其他成员则不能使用su命令

实例操作
在这里插入图片描述
在这里插入图片描述

7、Linux中的PAM安全认证

7.1 su命令的安全隐患

默认情况下,任何用户都允许使用su命令,有机会反复尝试其他用户(如root) 的登录密码,带来安全风险;
为了加强su命令的使用控制,可借助于PAM认证模块,只允许极个别用户使用su命令进行切换。

7.2 PAM(Pluggable Authentication Modules)可插拔式认证模块

  • 是一种高效而且灵活便利的用户级别的认证方式;
  • 也是当前Linux服务器普遍使用的认证方式。

7.3 PAM认证原理

  • PAM认证一般遵循的顺序: Service (服务) --> PAM (配置文件) --> pam_*.so;,
  • PAM认证首先要确定哪一项应用服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证模块(位于/lib64/security/下)进行安全认证。
  • 用户访问服务器的时候,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证。不同的应用程序所对应的PAM模块也是不同的。
  • 如果想查看某个程序是否支持PAM认证,可以用ls命令进行查看/etc/pam.d/。
  • PAM的配置文件中的每一行都是一个独立的认证过程,它们按从上往下的顺序依次由PAM模块调用。

在这里插入图片描述

8、使用sudo机制提升权限

8.1 sudo命令的用途及用法

  • 用途 :以其他用户身份(如root执行授权的命令)
  • 用法:sudo 权限命令

8.2.配置sudo授权

  • visudo或者vi /etc/sudoers(此文件没有写的权限,保存时必须 wq!强制执行操作)
  • 记录格式:用户 主机名=命令程序列表
  • 可以使用通配符“ * ”号任意值和“ !”号进行取反操作。
  • 权限生效后,有5分钟的闲置时间,超过5分钟没有操作则需要再输入密码。

8.3 格式

用户 主机名=命令程序列表
用户 主机名=(用户)命令程序列表
zhangsan ALL=(root) /sbin/ifconfig  sudo -l  #查询授权的sudo操作
  • 用户: 直接授权指定的用户名,或采用“&组名"的形式(授权一个组的所有用户)。
  • 主机名:使用此规则的主机名。没配置过主机名时可用localhost,有配过主机名则用实际的主机名,ALL则代表所有主机。
  • (用户):用户能够以何种身份来执行命令。此项可省略,缺省时以root用户的身份来运行命令。
  • 命令程序列表:允许授权的用户通过sudo方式执行的特权命令,需填写命令程序的完整路径,多个命令之间以逗号“,"进行分隔。ALL则代表系统中的所有命令
  • 执行调用格式为(用户名 网络中的主机=(执行命令的目标用户) 执行的命令范围)

8.4 启用sudo操作日志

  • 需启用Defaults logfile配置
  • 默认日志文件:/var/log/sudo
  • 操作:在/etc/sudoers末尾添加Defaults logfile=“/var/log/sudo”

8.5实例操作

wheel组的成员可以操作sudo,而非wheel组则不可以,查找原因
在这里插入图片描述在这里插入图片描述
设置指定用户可以使用sudo指定的命令,并测试
进入vim /etc/sudoers ,将wheel组权限加“#”号注释,并在末尾添加配置,最后强制保存并退出
在这里插入图片描述
进行测试
在这里插入图片描述
设置执行sudo命令时不需要输入密码,并测试
在这里插入图片描述
在这里插入图片描述
在/car/log下创建sudo日志文件,用来存储用户使用的sudo命令记录,并测试
在这里插入图片描述
在这里插入图片描述

二、系统引导和登录控制

2.1 开关机安全控制

将第一引导设备设为当前系统所在硬盘;
禁止从其他设备(光盘、 U盘、网络)引导系统;
将安全级别设为setup,并设置管理员密码。

2.2.GRUB限制

使用grub2-mkpasswd-pbkdf2生成密钥;
修改/etc/grub.d/00_ header文件中, 添加密码记录;
生成新的grub.cfg配置文件。

2.3 限制更改GRUB引导参数

通常情况下在系统开机进入GRUB菜单时,按e键可以查看并修改GRUB引导参数,这对服务器是一个极大的威胁。可以为GRUB菜单设置一个密码,只有提供正确的密码才被允许修改引导参数。

2.4实例操作

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
限制root只在安全终端登录
在Linux系统中,login 程序会读取/etc/securetty文件,以决定允许root 用户从哪些终端(安全终端)登录系统

修改此配置文件:vim /etc/ securetty

终端介绍

  • 安全终端配置:/etc/securetty
  • tty1~ 6是文本型控制台,tty7 是X Window图形显示管理器。可以通过CtrI+Alt+F1 (F1-F7键) 切换到对应的登录控制台。
    注:按ctrl+Alt+F1回到图形化界面
    实例操作

设置不允许root用户使用tty5和tty6终端登录
在这里插入图片描述
设置完成后,重启主机,进行切换终端测试是否可以登录
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
再次修改配置文件,允许root用户可以在tty6终端登录,并测试
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
禁止普通用户登录
login程序会检查/etc/nologin文件是否存在,如果存在,则拒绝普通用户登录系统(root 用户不受限制)

操作方法:
第一步:创建/etc/nologin文件
第二步:删除nologin文件或重启后恢复正常
实例操作
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
删除文件,并进行测试
在这里插入图片描述

在这里插入图片描述

Zcien
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux运维之道-账户安全
liulong1010的专栏
12-02 2943
文章目录账户安全创建账户以及组1、useradd2、groupadd3、id修改账户及组1、passwd2、gpasswd3、usermod删除账户及组1、userdel2、groupdel账户与组文件解析1、`etc/passwd`2、`/etc/shadow`3、`/etc/group`4、`/etc/gshadow`文件权限修改文档属性1、chmod2、chownACL访问控制权限1、ge...
linux系统安全优化策略
u012171444的博客
05-02 2733
1、口令复杂度检查 重新启用某个旧密码,要确保此密码在继上次使用后已被修改过几次。此策略是管理员能够通过确保旧密码不被连续重新使用来增强安全性 参考配置操作,在/etc/pam.d/system-auth配置如下三种方案中的一种 1.1 引用pam_passwdqc.so 添加配置 password required pam_passwdqc.so min=disabled,disabled,12,disabled,8 enforce=everyone 规则解释如下: 1)只包含一种字符的密码
Linux-账号安全控制
志当存高远
02-04 342
Linux-账号安全控制一、账号安全基本措施1、系统账号清理2、密码安全控制3、命令历史限制4、终端自动注销二、切换用户-su命令1、用途及用法2、密码验证3、限制用户使用su命令4、查看su操作记录三、linux中的PAM安全认证1、su命令的安全隐患2、PAM可插拔式认证模块3、PAM认证原理4、每行注释5、PAM认证的构成6、PAM安全认证流程7、控制标记的补充说明五、使用sudo机制提升权限1、su命令的缺点2、sudo的用途和用法3、配置sudo4、语法格式六、开关机安全控制1、调整BIOS引导设
限制登录Linux服务器的几种方式
weixin_45190065的博客
02-07 4704
限制登录Linux服务器的几种方式
linux下的用户安全问题讨论
weixin_42446031的博客
01-04 911
众所周知,现在的网络安全问题已经受到了人们的广泛关注,如用户信息被泄露,帐号密码被盗等等问题 然而在耳熟能详的计算机操作系统安全性上来说,linux系统安全性还是受到大家的肯定的!!! 那么下面就来谈一谈linux下的安全性问题 用户认证信息 若要查看用户的认证信息,则要查看文件/etc/shadows 由图可以看出此文件下每个用户后有九栏,分别为 用户名称:用户密码:用户密码最后一次被更改...
linux操作系统详解Linux不再难懂)
08-15
1. 使用 SELinux,SELinux 是用来对 Linux 进行安全加固的,有了它,用户和管理员们就可以对访问控制进行更多控制。 2. 使用防火墙,防火墙可以阻止未经授权的访问。 3. 使用加密,使用加密可以保护数据的安全。 4. ...
Linux更改账户密码实例详解
01-10
更改个人账户密码 ... $ passwd 示例输出: Changing password for nick (current) UNIX password: ...在下次登录Linux系统时,就可以使用新密码登录了。 注:输入密码时,屏幕上不会显示密码。 更改
Linux下SSH免密码登录配置详解
09-14
Linux系统中,SSH(Secure Shell)是一种用于在不同网络之间安全地传输数据和提供远程登录功能的协议。SSH免密码登录是SSH的一种便捷方式,允许用户在不输入密码的情况下登录到远程服务器,提高工作效率。本文将...
Linux密码安全防护操作详解
09-15
最后,学习和理解这些安全防护措施是非常必要的,它们可以帮助我们更好地保护Linux系统,避免不必要的数据损失或系统被非法访问。同时,持续关注最新的安全技术和威胁,以便随时更新我们的防护策略,保持系统安全
linux系统安装步骤教程详解.docx
07-13
按照屏幕提示创建一个普通用户,这个用户将在日常使用中登录系统。 15. **软件选择** 在软件选择界面,取消"Applications"、"Base System"、"Servers"中的所有选项。在"Desktops"中保留"Desktop Platform",取消...
Linux账号安全
肥猫警长的博客
09-15 1749
一、账号安全控制 1.基本安全措施 1.系统账号清理 将非登录用户的Shell设为/sbin/nologin (usermod -s /sbin/nologin yebai) 锁定长期不使用的账号 (usermod -L yebai) 删除无用的账号 (userdel -r yebai) 锁定账号文件passwd、shadow (password -S yebai) ###2.密码安全控制 设施密码有效期 chage -M 60 yebai vim /etc/login.defs 要求用户
Linux账号登录安全
weixin_34025151的博客
11-23 141
注释掉系统不需要的用户和用户组//不建议直接删除,当你需要某个用户时,自己重新添加会很麻烦。Shell[root@localhost~]#cp/etc/passwd/var/.bak/etc///欲修改,先备份[root@localhost~]#vim/etc/passwd//编辑帐号配置文件//可以被注释掉的用户:adm,lp,sync,shutdow...
Linux服务器被入侵之后的处理方法
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
09-13 1677
安全事件处理流程 如上图,将服务器安全应急响应流程分为如下 8 个环节: 发现安全事件(核实)—现场保护–服务器保护—影响范围评估—在线分析—数据备份—深入分析----事件报告整理 各阶段说明 核实信息(运维/安全人员) 根据安全事件通知源的不同,分为两种: 外界通知:和报告人核实信息,确认服务器/系统是否被入侵。现在很多企业有自己的 SRC(安全响应中心),在此之前更多的是依赖某云。这种情况入侵的核实一般是安全工程师完成。 自行发现:根据服务器的异常或故障判断,比如对外发送大规模流量或者系统负载异常高等
linux+用户的shell,更改linux用户登录shell的方法
weixin_32252533的博客
04-28 1373
更改linux用户登录shell的方法,感兴趣的朋友可以参考下。1、查看机器安装了哪些shell?有两种方法可以查看。第一种:[rocrocket@wupengchong ~]$ chsh -l/bin/sh/bin/bash/sbin/nologin/bin/zsh第二种:[rocrocket@wupengchong ~]$ cat /etc/shells/bin/sh/bin/bash/sbi...
Linux账户安全
Linux的成长历程
03-22 393
1 账号及组的概念 Linux系统对账号与租的管理是通过ID来实现的 2创建账号与组 使用命令usseradd可以创建我们需要的账户 groupadd用来创建组账户注意:创建组需要有管理员权限 uaeradd 作用:创建新账号 选项:-c 设置账号全称 -d 设置加目录默认为/home/用户名 -e 设置账户失效日期 -g 设置账户的基本组 -G 是指账户的附加组 -M 不创建...
Linux中用户管理详解(上)
nosmatch的专栏
01-05 725
Linux系统中,所有的用户和组像一个国家。如果国家要繁荣昌盛的话,需要治理得当,需要有主席或者总统,以及地方官员和老百姓组成。在linux中如果你对安全需求比较苛刻,完全可以限制用户的各种行为,不同用户的权限是不同的。 在linux系统中,它并不认识帐号名称。它认识的是我们的帐号ID,帐号ID保存在/etc/passwd文件中。我们在登录linux主机时,在输入完帐号和密码时,linux
安全运维之:Linux系统账户登录安全
weixin_34414196的博客
09-15 141
一、合理使用Shell历史命令记录功能在Linux下可通过history命令查看用户所有的历史操作记录,同时shell命令操作记录默认保存在用户目录下的.bash_history文件中,通过这个文件可以查询shell命令的执行历史,有助于运维人员进行系统审计和问题排查,同时,在服务器遭受******后,也可以通过这个命令或文件查询***登录服务器所执行的历史命令操作,但是有时候***在***服务器...
提升Linux帐号安全策略
weixin_34311757的博客
05-13 102
作/译者:叶金荣(Email: ),来源:http://imysql.cn,转载请注明作/译者和出处,并且不能用于商业用途,违者必究。 前言 先来了解一下 /etc/shadow 的格式:[root@localhost ~]# cat /etc/shadow | grep yejr yejr:$1$e0l45aJc$B3pfnFsKsxRFpI9apJ8mS1:13746:0:99999:7...
Linux账户密码过期安全策略设置
weixin_33805743的博客
06-20 1252
Linux系统管理中,有时候需要设置账号密码复杂度(长度)、密码过期策略等,这个主要是由/etc/login.defs参数文件中的一些参数控制的的。它主要用于用户账号限制,里面的参数主要有下面一些: /etc/login.defs: # Password aging controls:##       PASS_MAX_DAYS   Maximum number of days a pas...
Linux下/etc/passwd 和/etc/shadow详解
最新发布
09-14
Linux系统中,`/etc/passwd` 和 `/etc/shadow` 是两个重要的文件,用于存储用户账户信息和密码哈希值。我会分别对它们进行详细解释。 1. `/etc/passwd` 文件: `/etc/passwd` 是一个文本文件,包含了系统中所有用户账户的基本信息。每一行对应一个用户账户,字段之间使用冒号(:)进行分隔,例如: ``` username:password:UID:GID:gecos:home_dir:shell ``` - `username`:用户账户登录名。 - `password`:用户账户的密码哈希值(现在已经被移至 `/etc/shadow` 文件中)。 - `UID`:用户账户的唯一标识符。 - `GID`:用户账户所属的主要组标识符。 - `gecos`:用户账户的一些额外信息,如全名、电话等(可以为空)。 - `home_dir`:用户账户的主目录。 - `shell`:用户账户的默认Shell程序。 注意:现在 `/etc/passwd` 中的 `password` 字段已经被 'x' 或者 '*' 取代,实际的密码哈希值被移至 `/etc/shadow` 文件中。 2. `/etc/shadow` 文件: `/etc/shadow` 是一个只有 root 用户可读的文件,用于存储用户账户的密码哈希值和一些其他安全相关的信息。每一个用户账户的信息占用一行,由冒号(:)分隔,如下所示: ``` username:password:lastchg:min:max:warn:inactive:expire:disable ``` - `username`:用户账户登录名。 - `password`:用户账户的密码哈希值。 - `lastchg`:上次修改密码的日期(从1970年1月1日开始算起的天数)。 - `min`:两次修改密码之间所需的最小天数。 - `max`:密码有效期的最大天数。 - `warn`:提前多少天给用户发出密码过期警告。 - `inactive`:密码过期后多少天用户账户被禁用。 - `expire`:用户账户被禁用的日期(从1970年1月1日开始算起的天数)。 - `disable`:用户账户是否被禁用。 `/etc/shadow` 文件中的密码哈希值通常是经过加密且不可逆的,用于验证用户输入的密码是否正确。 总结:`/etc/passwd` 文件存储了用户账户的基本信息,而 `/etc/shadow` 文件存储了用户账户的密码哈希值和其他安全相关的信息。这样通过将密码哈希值存储在 `/etc/shadow` 中,能够增加系统安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值