Linux系统账号安全
系统安全
文章目录
- 系统安全
- 账号安全控制
- 账号安全基本措施
- 系统账号清理
- 密码安全控制
- 命令历史限制
- 终端自动注销
- su命令切换用户
- Linux中的PAM安全认证
- su命令的安全隐患
- PAM可插拔式认证模块
- PAM安全认证原理
- PAM安全认证流程
账号安全控制
账号安全基本措施
系统账号清理
- 将非登录用户的shell设置为/sbin/nologin禁止用户登录
- usermod -s /sbin/nologin 用户名
- usermod -s /bin/false 用户名
- 锁定长期不使用的账号
- usermod -L 用户名
- passwd -S 用户名
- 删除无用账号
- userdel -r 用户名
- 锁定账号文件
- chattr +i /etc/passwd /etc/shadow ##锁定
- lsattr /etc/passwd /etc/shadow ##查看
- chattr -i /etc/passwd /etc/shadow ##解锁
密码安全控制
- 设置密码有效期
- 要求用户下次登陆时修改密码
chage -M 30 pll ##修改密码有效期为30天,适用于已有用户。
cat /etc/shadow | grep pll ##查看有效期
vi /etc/login.defs ##进入密码配置文件
命令历史限制
- 减少记录的目录条数
-
登陆时自动清空历史命令
vim ~/.bashrc ##进入开机启动配置文件 echo '' > ~/.bashrc ##自动清空历史命令
终端自动注销
限制500s后自动注销
vim /etc/profile export TMOUT=500 ##设置注销时间为500s source /etc/profile ##重新加载配置文件
su命令切换用户
用途及用法
用途:Substitute User ,切换用户
格式
su - 目标用户
密码验证
- root -->任意用户,不验证密码
- 普通用户–>其他用户,验证目标用户的密码
su -rootwhoami ##查看当前用户名限制使用su命令的用户
- 将允许使用su命令的用户加入到wheel组
- 启用pam_wheel认证模块
- 查看su切换用户的操作记录
vim /etc/pam.d/suvim /var/log/secure ##查看日志文件开启第2行和第6行
Linux中的PAM安全认证
su命令的安全隐患
- 默认情况下,任何用户都运行使用su命令,有机会反复尝试其他用户(root)密码
PAM可插拔式认证模块
是一种高效而且灵活便利的用户级别的认证方式
也是当前Linux服务器普遍使用的认证方式
PAM安全认证原理
一般遵循的顺序
.Service(服务)→PAM(配置文件)→pam *.so
首先要确定哪一项服务,然后加载相应的PAM配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib64/security下)进行安全认证
用户访问服务器时,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证
不同的应用程序所对应的PAM模块是不同的
如果想要查看某个程序是否支持PAM认证,可以使用ls命令,进行查看/etc/pam.d/
每一列的含义
| 第一列代表PAM认证模块类型 | auth | 对用户身份进行识别,如提示输入面膜,判断是否为root |
| account | 对用户身份进行识别,如提示输入面膜,判断是否为root | |
| password | 对用户身份进行识别,如提示输入面膜,判断是否为root | |
| session | 对用户身份进行识别,如提示输入面膜,判断是否为root | |
| 第二列代表PAM看着标记 | required | 表示需要返回一个成功值,如果返回失败,不会立即将失败结果返回,而是继续进行同类型的下一步验证,所有此类型的模块都执行完成后,再返回失败 |
| requisite | 与required类似,但如果此模块返回失败,则立刻返回失败并表示此类型失败 | |
| sufficient | 如果此模块返回成功,则直接向程序返回成功,表示此类成功,如果失败,也不影响这类型的返回值 | |
| optional | 不进行成功与否的返回,一般不用于验证,只是显示信息(通常用于session类型) | |
| include | 表示在验证过程中调用其他的 PAM 配置文件。比如很多应用通过完整调用/etc/pam.d/system-auth (主要负责用户登录系统的认证工作)来实现认证而不需要重新逐一去写配置项 | |
| 第三列代表PAM模块 | 默认是在/lib64/security/目录下,如果不在此默认路径下,要填写绝对路径 | |
| 同一个模块,可以出现在不同的模块类型中,它在不同的类型中所执行的操作都不相同,这是由于每个模块针对不同的模块类型编制了不同的执行函数 | ||
| 第四列代表PAM模块参数 | 根据所使用的模块进行添加 传递给模块的参数,参数可以有多个,之间用空格分隔开 | |
PAM安全认证流程
Linux系统账号安全相关推荐
- Linux系统账号安全和登录控制(安全很重要)
账号安全 本章结构 账号安全控制 系统引导和登录控制 一.账号安全的措施 1.1.系统账号清理 1.1.1.措施一:将非登录用户的shell设为/sbin/nologin 格式: usermod -s ...
- Linux系统安全与应用(一)——账号安全与控制与PAM认证模块
Linux系统安全与应用(一)--账号安全与控制与PAM认证模块 一.账号安全控制 1.系统账号清理 2.密码安全控制 ①.设置密码有效期 ②.要求用户下次登陆时更改密码 3.命令历史限制 4.终端自 ...
- linux系统安全优化
linux系统安全优化 用户账号安全优化 1.禁用(锁定)zhangsan用户 用passwd –l [root@s2 ~]# passwd -l zhangsan Locking password ...
- 【AWSL】之Linux系统安全及应用(su、PAM、sudo、GRUB、JR、NMAP)
序言 这里我主要介绍Linux系统安全与应用 系统安全与应用 序言 一 .账号安全控制 1.账号安全基本措施 ①系统账号清理 ②密码安全控制 ③命令历史限制 ④终端自动注销 二 .系统引导和登录控制 ...
- 深入理解Linux系统中的用户和组账号
为什么80%的码农都做不了架构师?>>> 一.Linux中的用户和组账号概述 与Windows操作系统相比,Linux系统中的用户和组账号的作用本质上是一样的,同样都是 ...
- Linux 系统和安全
文章目录 1.前言 2.账号安全与控制 2.1 将非登录用户的 Shell 设为 /sbin/nologin 2.2 锁定长期不使用的账号 2.3 删除无用账号 2.4 锁定账号文件 passwd.s ...
- Linux系统网络服务——安全与防火墙笔记
Linux安全笔记--系统.网络(防火墙) 系统基本安全 1.防火墙:网络防火墙.主机型防火墙 2.TCPWappers 3.软件自己过滤 4.人类工程学 5.VPN 对安全实行的措施技术 加强系统账 ...
- Linux系统安全及应用
目录 一.账号安全基本设施 1.系统账号清理 1.1将非登录用户的shell设为/sbin/nologin 1.2锁定长期不使用的账号 1.3删除无用的账号 1.4锁定配置文件--chattr 2.密 ...
- Linux系统安全加固浅谈
对于企业来说,安全加固是一门必做的安全措施.主要分为:账号安全.认证授权.协议安全.审计安全.总的来说,就是4A(统一安全管理平台解决方案),账号管理.认证管理.授权管理.审计管理.用漏洞扫描工具扫描 ...
最新文章
- PCL:拟合平面直线和曲线以及空间曲线的原理到算法实现
- 深入浅出理解c++虚函数
- The current branch is not configured for pull No value for key branch.master.merge found in config
- ImageView 控制图片大小
- 机器人组团到城市打工,第一站果然是赛博朋克城
- dede织梦调用顶级二级栏目及下三级栏目方法(数据库实现)
- Tomcat启动时为什么要配置CATALINA_HOME环境变量??
- unity加载sprite_Unity 分离贴图 alpha 通道实践
- java类用三木运算编译不生效_Java 中的三目运算符使用不当所导致的问题
- SRS流媒体服务器——Edge集群搭建
- RFC remote call during status filter logic
- 【渝粤题库】国家开放大学2021春2773特种动物养殖题目
- Airflow 中文文档:实验性 Rest API
- mysql是怎样运行的书籍_《Mysql是怎样运行的》读书笔记三
- pmos管的应用_串联稳压电路3:NMOS型、PMOS型
- 《统一沟通-微软-实战》-6-部署-2-中介服务器-2-安装中介服务器
- 2019年系统架构设计师考试--从备考到拿证
- Windows安装虚拟机VMware
- 【BP数据预测】基于matlab天牛须算法优化BP神经网络数据预测【含Matlab源码 1316期】
- html视频设置自动播放下一个,在html5中,如何使用video标签让两个不同的视频文件按顺序自动播放?...