目录
一、账号安全控制
控制账号安全基本措施:
1、将非登录用户的Shell 设为/sbin/nologin
2.锁定长期不使用的账号 /解锁账号
①使用usermod锁定、解锁
usermod -l 账户名 锁定账户
usermod -u 账户名 解锁账户
②使用passwd 锁定、解锁
passwd -l 账户名 锁定账户
passwd -u 账户名 解锁账户
3.删除无用账号
userdel -r
4.锁定账号文件
passwd、shadow(冻结不让创建新用户)
锁定账号文件(或者普通文件)禁止修改、写入、删除
chattr -i /etc/passwd /etc/shadow
解锁账号文件(或者普通文件)
lsattr /etc/passwd /etc/shadow
例:锁定账户文件,禁止创建新用户
提示:锁定后只能查看,不可以修改和删除
二、密码安全控制
设置新用户密码有效期
进入vi /etc/login.defs,修改密码有效期
对老用户修改密码有效期
用户下次登陆时修改密码
三、命令历史限制
修改历史记录数量
进入vim /etc/profile,修改histsize,后面的数字表示保留的条数
用户登出时清除命令
重启查看历史命令
自动注销
设置600秒无任何操作 自动注销
三、Su命令
root用户切换到普通用户 无需密码
普通用户切到root用户 需要密码
限制使用su命令的用户
默认情况下,任何用户都允许使用 su 命令,从而有机会反复尝试其他用户(如 root) 的登录密码,这样带来了安全风险。为了加强 su 命令的使用控制,可以借助于 pam_wheel 认证模块,只允许极个别用户使用 su 命令进行切换。实现过程如下:将授权使用 su 命令 的用户添加到 wheel 组,修改/etc/pam.d/su 认证配置以启用 pam_wheel 认证。
以上两行是默认状态(即开启第一行,注释第二行),这种状态下是允许所有用户间使用su命令进行切换的。
两行都注释也是运行所有用户都能使用su命令,但root下使用su切换到其他普通用户需要输入密码;如果第一行不注释,则root使用su切换普通用户就不需要输入密码(pam_rootok.so模块的主要作用是使uid为o的用户,即root用户能够直接通过认证而不用输入密码。
如果开启第二行,表示只有root用户和wheel组内的用户才可以使用su命令
如果注释第一行,开启第二行,表示只有wheel组内的用户才能使用su命令,root用户也被禁用su命令。
例 将yasuo用户加入到wheel
查看wheel组成员
四、 PAM认证原理(防暴力破解)
①配置方法:文件位置 vim /etc/pam.d/sshd
在下面一行添加 auth required pam.tally2.so deny=3 unlock=600 even_deny_root root_unlock_time=1200 (尝试登陆失败超过3次,普通用户600秒解锁,root用户1200秒解锁)
第一列代表PAM认证模块的类型
auth:对用户身份仅从识别
account:对账号各项属性进行检查
password:使用用户信息来更新数据
session:定义登陆前以及推出后所要进行的会话操作管理
第二列代表PAM控制标记
required:表示需要返回一个成功值,如果返回失败,不会立刻将失败结果返回,而是继续进行同类型的下一验证,所有此类型的模块都执行完成后,再返回失败。
requisite:与required类似,但如果此模块返回失败,则立刻返回失败并表示此类型失败。
sufficient:如果此模块返回成功,则直接向程序返回成功,表示此类成功,如果失败,也不影响这类型的返回值。
optional: 不进行成功与否的返回,一般不用于验证,只是显示信息(通常用于session类型),
include:表示在验证过程中调用其他的PAM配置文件。比如很多应用通过完整调用/etc/pam.d/system-auth(主要负责用户登录系统的认证工作)来实现认证而不需要重新逐一去写配置项。
第三列代表PAM模块
默认是在/lib64/security/目录下,如果不在此默认路径下,要填写绝对路径。同一个模块,可以出现在不同的模块类型中,它在不同的类型中所执行的操作都不相同,这是由于每个模块针对不同的模块类型编制了不同的执行函数。
第四列代表PAM模块的参数
这个需要根据所使用的模块来添加。传递给模块的参数。参数可以有多个,之间用空格分隔开
每一行都是一个独立的认证过程
每一行可以区分为三个字段:认证类型、控制类型、PAM模块及其参数
PAM 认证类型包括四种:
认证管理(authentication management):接受用户名和密码,进而对该用户的密码进行认证;
帐户管理(account management):检查帐户是否被允许登录系统,帐号是否已经过期,帐号的登录是否有时间段的限制等;
密码管理(password management):主要是用来修改用户的密码;
会话管理(session management):主要是提供对会话的管理和记账。 控制类型也可以称做 Control Flags,用于 PAM 验证类型的返回结果。
1.required验证失败时仍然继续,但返回 Fail
2.requisite验证失败则立即结束整个验证过程,返回 Fail
3.sufficient验证成功则立即返回,不再继续,否则忽略结果并继续
4.optional不用于验证,只是显示信息(通常用于 session 类型)
五、sudo授权
sudo的配置文件/etc/sudoers文件默认权限为440,需使用专门的visudo工具进行编辑。
也可以用vi进行编辑,但保存时必须执行":w!"命令来强制操作,否则系统将提示为只读文件而拒绝保存。
语法格式
用户 主机名=命令程序列表
用户 主机名=(用户) 命令程序列表
1、用户:直接授权指定的用户名,或采用“%组名”的形式(授权一个组的所有用户)。
2、主机名:使用此规则的主机名。没配置过主机名时可用localhost,有配过主机名则用实际的主机名,ALL则代表所有主机
3、(用户):用户能够以何种身份来执行命令。此项可省略,缺省时以root用户的身份来运行命令
4、命令程序列表:允许授权的用户通过sudo方式执行的特权命令,需填写命令程序的完整路径,多个命令之间以逗号“,”进行分隔。
ALL则代表系统中的所有命令
进入vim /etc/sudoers 文件并进行编辑
给yasuo用户添加权限
351
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
