Linux——系统安全及应用(账号安全、su命令、PAM认证、sudo命令)

最新推荐文章于 2023-08-07 00:45:57 发布
最新推荐文章于 2023-08-07 00:45:57 发布
阅读量704 收藏
点赞数
文章标签: 系统安全 安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_69543697/article/details/125171584
版权

Linux——系统安全及应用(账号安全、su命令、PAM认证、sudo命令)

一、账号安全基本措施
1、系统账号清理
----将非登录用户的Shell设为/sbin/nologin(禁止用户登录)-----
usermod -S /sbin/nologin 用户名

------锁定长期不使用的账号-----
usermod -L 用户名
passwd -l 用户名
passwd -S 用户名

-----删除无用的账号-----
userdel [-r] 用户名

----锁定账号文件passwd、shadow----
锁定文件并查看状态
chattr +i /etc/passwd /etc/shadow
lsattr /etc/passwd /etc/shadow

解锁文件
chattr -i /etc/passwd /etc/shadow
image-20220607185006430

2、密码安全控制
设置密码有效期
vim /etc/shadow 第五个字段查看密码有效期
要求用户下次登陆时修改密码
-----修改密码配置文件适用于新建用户-----
[root@localhost ~]# vi /etc/login.defs ##修改密码配置文件

PASS_MAX_DAYS 30

-------适用于已有用户------
[root@localhost ~]# chage -M 30 lisi ##直接修改有效期
[root@localhost ~]# cat /etc/shadow | grep lisi

[root@localhost ~]# chage -d 0 zhangsan ##强制在下次登录时更改密码
[root@localhost ~]# cat /etc/shadow | grep zhangsan ##shadow文件中的第三个字段被修改为0
image-20220607185059137

3、命令历史限制
减少记录的命令条数
登录时自动清空命令历史
[root@localhost ~]# vi /etc/profile
export HISTSIZE=200
[root@localhost ~]# source /etc/profile
[root@localhost ~]# vi ~/.bashrc
echo"" > ~/.bash_history

4、终端自动注销
闲置600秒后自动注销
[root@localhost ~]# vi /etc/profile

export TMOUT=600 ##设置注销时间为600秒
[root@localhost ~]# source /etc/profile ##重新加载配置文件

二、使用su命令切换用户
1、用途及用法
用途:Substitute User,切换用户
格式:su - 目标用户
2、密码验证
root->任意用户,不验证密码
普通用户->其他用户,验证目标用户的密码
[jerry@localhost ~]$ su - root
##带-选项表示将使用目标用户的登录Shell环境
口令:
[root@localhost ~]# whoami
root

3、限制使用su命令的用户
将允许使用su命令的用户加入wheel组
启用pam_wheel认证模块

image-20220607185944066
image-20220607191340620

以上两行是默认状态(即开启第一行,注释第二行),这种状态下是允许所有用户间使用su命令进行切换的。
两行都注释也是运行所有用户都能使用su命令,但root下使用su切换到其他普通用户需要输入密码:如果第–行不注
释,则root 使用su切换普通用户就不需要输入密码( pam_ rootok. so模块的主要作用是使uid为0的用户,即
root用户能够直接通过认证而不用输入密码。)
如果开启第二行,表示只有root用户和wheel1组内的用户才可以使用su命令。
如果注释第一行,开启第二行,表示只有whee1组内的用户才能使用su命令,root用户也被禁用su命令。
image-20220607191404363

4、查看su操作记录
安全日志文件:/var/log/secure

三、使用sudo机制提升权限
1、su命令的缺点
默认情况下,任何用户都允许使用su命令,有机会反复尝试其他用户(如root)的登录密码,带来安全风险
2、sudo命令的用途及用法
用途:以其他用户身份(如root)执行授权的命令
用法:sudo授权命令
3、配置sudo授权
visudo

vi /etc/sudoers(此文件的默认权限为440,保存并退出时必须执行":wq!"命令来强制操作)

语法格式:
用户 主机名=命令程序列表
用户 主机名=(用户) 命令程序列表
image-20220607191721699

image-20220607191750267
image-20220607191806520

4、启用sudo操作日志
vi sudo
Defaults logfile = “/var/ log/sudo”

5、查看sudo操作记录
需启用 Defaults logfile 配置
默认日志文件:/var/log/sudo

image-20220607191840932
6、查询授权的sudo操作
sudo -l
su - Tom
/sbin/ifconfig ens33:0 192.168.1.11/24.
sudo /sbin/ifconfig ens33:0 192. 168.1.11/24
#初次使用sudo时需验证当前用户的密码,默认超时时长为5分钟,在此期问不再重复验证密码。
sudo -l
ns33:0 192.168.1.11/24.
sudo /sbin/ifconfig ens33:0 192. 168.1.11/24
#初次使用sudo时需验证当前用户的密码,默认超时时长为5分钟,在此期问不再重复验证密码。
sudo -l
#查看当前用户获得哪些sudo授权

渔火鳅
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
这5个Linux安全相关的命令,很实用!
网络技术联盟站
01-31 268
更多人认为是“网络”命令,但该命令也可用于安全目的。比如:命令列出所有登录的人。Linux 是多用户的,所以这个命令可以用来查找谁登录了。命令可以显示最后登录的用户和一些活动。这是一个非常基本的命令,它所做的一切都是为了更改密码,但当然不时更改密码有助于提高计算机的安全性。如果需要,可以使用来更改用户的密码。在这里就不给大家演示改密码了,毕竟修改密码不是很频繁,如果大家需要修改密码,可以自行试一下。代表防火墙,用于管理防火墙规则。使用此命令的一些发行版是 Arch 和 Ubuntu。我用的服务器就是Ubun
Linux——账号安全su切换用户、PAM认证模块、sudo提权、开关机安全控制
weixin_51613313的博客
12-03 976
系统安全与运行一、账号安全1.1 系统账号清理1.1.1 禁止账号登录系统1.1.2 锁定长期不使用的账号1.1.3 删除无用的账号1.1.4 锁定账号文件1.1.5 清除用户的密码1.2 密码安全控制1.2.1 修改用户账号密码有效期1.2.2 设定用户账号失效期 一、账号安全 1.1 系统账号清理 1.1.1 禁止账号登录系统 将非登录用户的Shell设为/sbin/nologin usermod -s /sbin/nologin 用户名 示例:禁止“lisi”用户登录 1.1.2 锁定长期不使用
盘点 | 22个基本的Linux安全命令
cjffl3520的博客
11-27 389
如果您正在关注Linux系统的安全性,那么这些命令是您必须知道的。 Linux系统的安全性有很多问题——从设置帐户到确保合法用户的权限没有超出工作所需。本文将介绍用于Linux系统日常工作的一些最基...
Linux系统安全命令
PengAcang的博客
10-04 660
虽然 Linux 和 Windows NT/2000 系统一样是一个多用户的系统,但是它们之间有不少重要的差别。对于很多习惯了 Windows 系统的管理员来讲,如何保证 Linux 操作系统安全、可靠将会面临许多新的挑战。本文将重点介绍 Linux 系统安全命令。passwd1. 作 用passwd 命令原来修改账户的登陆密码,使用权限是所有用户。2.格式passwd [选项] 账户名称 3.主
Linux系统安全命令
suyalei4的博客
03-14 483
01 passwd      1.作用     passwd命令原来修改账户的登陆密码,使用权限是所有用户。      2.格式     passwd [选项] 账户名称      3.主要参数      -l:锁定已经命名的账户名称,只有具备超级用户权限的使用者方可使用。     -u:解开账户锁定状态,只有具备超级用户权限的使用者方可使用。      -x, --m
Linux--系统安全应用(一)(账号安全控制)
Xucf1
02-02 1784
文章目录一、账号安全控制1.基本安全措施1.1 系统账号清理1.2 密码安全控制1.3 命令历史限制1.4 终端自动注销2.用户切换与提权2.1 su 命令——切换用户2.2 sudo 命令——提升执行权限2.2.1 添加授权2.2.2 通过 sudo 执行特权命令3.补充:PAM 安全认证3.1 PAM 及其作用3.2 PAM 认证原理3.3 PAM 认证的构成3.4 PAM 认证类型3.5 PAM 控制类型 一、账号安全控制 用户账号,是计算机使用者的身份凭证或标识,每一个要访问系统资源的人,必须凭
Linux——系统安全应用(弱口令检测、端口扫描)
ML908的博客
11-15 1115
基本安全措施 系统账号清理 将非登陆用户的Shell设为/sbin/nologin,表示禁止中断登陆,确保不被人为改动 在系统中,除了手动创建的各种账号之外,还包括随系统或程序安装过程而生成的其他大量账号。除了root之外,其他大量账号只是用来维护系统运作、启动或保持服务进程,一般是不允许登陆的,因此也称为非登陆用户 [root@localhost ~]# grep "/sbin/nologi...
一章——系统安全应用应用——linux防护与群集)
MKC__jiaoq的博客
08-19 1987
一、 账号安全控制 (一)账号安全基本措施 1、系统账号清理 1.将非登录用户的Shell设为/sbin/nologin /sbin/nologin----禁止终端登录,确保不被人为改动 (经常检查,防止恶意篡改) 2.锁定长期不使用的账号 (例如一些用户长期不使用,但不确认是否删除) 3.删除无用的账号 (例:mysql程序卸载后,删除程序用户mysql) 4.锁定账号文件passwd、shado...
Linux系统安全(用户、账号密码)及应用管理及网络扫描(sudo、chage、chattr,nmap、chage)
wulimingde的博客
11-03 707
Linux系统安全应用一、基本安全措施1、系统账号管理2、密码安全管理3、命令历史、自动注销 一、基本安全措施 1、系统账号管理 常见的非登录用户账号包括 bin、daemon、adm、lp、mail 等。为了确保系统安全,这些用户账号的登录 Shell 通常是/sbin/nologin,表示禁止终端登录,应确保不被人为改动。 [root@localhost ~]# grep "/sbin/nologin$" /etc/passwd bin:x:1:1:bin:/bin:/sbin/nologin d
Linux 安全命令
成字第0431879
08-22 1135
今天七夕,情人节,来重点说说安全问题。 Linux系统的安全性涉及很多方面,从设置帐户到确保用户合法,限制比完成工作所需的更多权限。这里是关于Linux系统日常工作的一些最基本的安全命令sudo 使用sudo运行特权命令,而不是将用户切换到root,是一个必不可少的良好实践,因为它有助于确保在需要时仅使用root权限并限制错误的影响。对sudo命令的访问权限取决于/etc/sudoe...
Linux系统安全应用
weixin_45305723的博客
03-11 6033
一、账号安全基本设施 1、系统账号清理 1.1将非登录用户的shell设为/sbin/nologin 非登录:不可以使用bash程序 1.2锁定长期不使用的账号 使用usermod锁定用户 使用passwd锁定账户 1.3删除无用的账号 锁定账号文件passwd、shadow ...
linux常用安全命令,Linux安全处理的命令-系统安全_Linux常用命令大全
weixin_42347522的博客
05-04 325
syslog命令_Linux syslog命令使用详解:系统默认的日志守护进程syslog是Linux操作系统默认的日志守护进程。默认的syslog配置文件是/etc/syslog.conf文件。程序,守护进程和内核提供了访问操作系统的日志信息。openssl命令_Linux openssl命令使用详解:强大的安全套接字层密码库OpenSSL是一个强大的安全套接字层密码库,包括主要的密码算法、常用...
lLinux系统安全sudo+pam
weixin_33862993的博客
08-19 116
ULA安全调优虚拟化存储集群sudosu相同点:使用普通帐号登录系统,避免直接误操作,降低root密码被泄漏风险区别:sudo 在使用普通帐号执行管理操作的时候,euid的身份可以是任何身份(根据配置文件设定),切换到目标euid身份时候,输入的不是目标身份的密码,而是自身的密码。tom ---sudo root--->输入的是tom自己的密码sudo会记录下所...
linux 数据合法性,外媒速递:22条命令助你提升Linux系统安全
weixin_29997223的博客
05-13 116
【51CTO.com原创稿件】外媒速递是核子可乐精选的近日国外媒体的精彩文章推荐,希望大家喜欢!今天给大家推荐的内容包括:22条命令助你提升Linux系统安全性、、四项***实践让你的云部署准备好迎接GDPR、微服务架构详解和关于密码学与公钥基础设施的一切等。一、22条命令助你提升Linux系统安全Linux系统的安全保障工作分为众多侧面——从建立帐户,到确保合法用户仅拥有完成必要工作所需的**...
Linux普通用户配置sudo认证
最新发布
_考不上研究生不改名的博客
08-07 2516
Linux系统中,sudo命令是一种非常实用的工具,它允许普通用户在需要时临时以超级用户的身份执行命令。配置sudo认证对于普通用户来说是非常有必要的,它能够提高系统的安全性和灵活性。本篇博客将详细介绍如何为Linux普通用户配置sudo认证!通过配置sudo认证Linux普通用户可以安全地执行特权命令,而不必切换到root账户。本篇博客提供了一个简易而又详细的操作,帮助大家为普通用户配置sudo认证。请注意,sudo是一个强大的工具,错误的配置可能导致系统不安全或无法使用。
Linux_PAM安全认证_sudo_安全控制
Wsxyi的博客
02-10 2012
PAM安全认证一.Linux中的PAM安全认证1.su命令安全隐患2.PAM(Pluggable Authentication Modules)可插拔式认证模块二.PAM认证原理三. PAM认证得构成1.查看某个程序是否支持PAM认证,可以用Is命令2. 查看suPAM配置文件: cat /etc/pam.d/su四. PAM安全认证流程 一.Linux中的PAM安全认证 Linux-PAM, 是linux可插拔认证模块,是一套可定制、可动态加载的共享库,使本地系统管理员可以随意选择程序的认证方式。PA
Linux系统安全应用(1) 账户安全与控制与PAM认证模块
m0_54594153的博客
07-13 1268
系统账号清理 锁定账号文件passwd、shadow(冻结不让创建新用户)锁定账号文件(或者普通文件)禁止修改、写入、删除chattr -i /etc/passwd /etc/shadow 解锁账号文件(或者普通文件)lsattr /etc/passwd /etc/shadow 例如:锁定账户文件,禁止创建新用户 例如,能否对文件进行锁定1,设置密码有效期 把PASS_MAX_DAYS: 密码最长有效期99999改为30时,新增账户密码有效期变为30天 对于已经拥有的用户 2,限制用户下次登录就改
Linux账号安全
qq_57377057的博客
07-13 484
目录一、系统账号管理1.1、锁定,解锁账号 1.2、限制创建新用户二、限制su命令用户三、sudo机制提升权限 很多时候我们需要对一些账户进行清理或限制,如禁止登陆,禁止创建新用户等限制 除了 usermod -s /sbin/nologin 用户名 还有一些别的方法
Linux系统安全优化:账号权限与sudo管理
"Linux系统安全常规优化是每个运维工程师必须掌握的关键技能,涉及到用户账号安全、权限管理和命令执行控制等多个方面。以下是对这些知识点的详细解释: A. 用户账号安全优化: 1. 删除不使用的用户和组:为了减少...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值