linux如何限制普通账户权限,设置登录?
一:账号安全控制
1.1 系统账号清理
1.1.1 将非登陆用户的Shell 设置为 /sbin/nologin (设置为这个解释器,禁止用户登陆)
[root@localhost ~]# usermod -s /sbin/nologin a #将用户a 的登录解释器 设置为 /sbin/nologin
[root@localhost ~]# echo "123456" | passwd --stdin a
更改用户 a 的密码 。
passwd:所有的身份验证令牌已经成功更新
在登录界面,登录zhangsan 的账号, 发现,输入完 用户账号 和 密码 后, 又会返回到登录界面
1.1.2 锁定长期不使用的账号
usermod -L 用户名 或者 passwd -l 用户名 ##锁定用户
usermod -U 用户名 或者 passwd -u 用户名 ## 解锁用户
passwd -S 用户名 #查看用户状态
[root@localhost ~]# passwd -S zhangsan
zhangsan PS 2021-06-25 0 99999 7 -1 (密码已设置,使用 SHA512 算法。)
[root@localhost ~]# passwd -l zhangsan #锁定用户zhangsan
锁定用户 zhangsan 的密码 。
passwd: 操作成功
[root@localhost ~]# passwd -S zhangsan #查看用户 zhangsan 的账号状态
zhangsan LK 2021-06-25 0 99999 7 -1 (密码已被锁定。)
[root@localhost ~]# usermod -U zhangsan #解锁用户 zhangsan
[root@localhost ~]# passwd -S zhangsan
zhangsan PS 2021-06-25 0 99999 7 -1 (密码已设置,使用 SHA512 算法。)
1.1.3 删除无用 的账号
userdel [-r] 用户名
[root@localhost ~]# userdel -r zhangsan #删除用户zhangsan , 选项 -r 表示连同它的家目录一起删除
[root@localhost ~]# id zhangsan
id: zhangsan: no such user
1.1.4 锁定账号文件 /etc/passed /etc/shadow
chattr +i 文件 #锁定文件
chattr -i 文件 #解锁文件
lsattr 文件 #查看文件是否锁定
#修改用户信息会 涉及 到 /etc/passwd 和 /etc/shadow 两个文件。将这两个文件锁定,将无法 管理用户 ,如 删除/新建用户 , 修改密码等操作
[root@localhost ~]# lsattr /etc/passwd /etc/shadow #查看/etc/passwd 和 /etc/shadow 文件是否已经锁定
---------------- /etc/passwd
---------------- /etc/shadow
[root@localhost ~]# chattr +i /etc/passwd /etc/shadow #将/etc/passwd /etc/shadow 文件锁定
[root@localhost ~]# lsattr /etc/passwd /etc/shadow
----i----------- /etc/passwd
----i----------- /etc/shadow[root@localhost ~]# id zhangsan
id: zhangsan: no such user
[root@localhost ~]# useradd zhangsan #创建用户失败
useradd:无法打开 /etc/passwd
[root@localhost ~]# id test
uid=1000(test) gid=1000(test) 组=1000(test),10(wheel)
[root@localhost ~]# echo '123456' |passwd --stdin test #修改用户密码失败
更改用户 test 的密码 。
passwd: 鉴定令牌操作错误
[root@localhost ~]# userdel test #删除用户失败
userdel:无法打开 /etc/passwd[root@localhost ~]# chattr -i /etc/passwd /etc/shadow #解除 /etc/passwd 和 /etc/shadow 文件锁定
[root@localhost ~]# lsattr /etc/passwd /etc/shadow
---------------- /etc/passwd
---------------- /etc/shadow
[root@localhost ~]# useradd zhangsan #解除锁定后,添加用户成功
[root@localhost ~]# id zhangsan
uid=1002(zhangsan) gid=1002(zhangsan) 组=1002(zhangsan)
1.2 密码安全控制
1.2.1 设置密码有效期
(1) 对于未创建的用户。修改 新建用户配置文件 /etc/login.defs , 修改字段 PASS_MAX_DAYS 的值
[root@localhost ~]# vim /etc/login.defs #修改新用户配置文件
PASS_MAX_DAYS 30 #设置密码有效期为 30 天[root@localhost ~]# useradd wangwu #创建信用户
[root@localhost ~]# cat /etc/shadow | grep wangwu
wangwu:!!:18803:0:30:7::: # 新用户密码有效期为30#/etc/shadow 的第 5 个字段保存 用户密码最长有效天
(2) 对于已有用户,使用 chage -M 时间 账户 #只有root 用户才可以使用 chage 命令
[root@localhost ~]# cat /etc/shadow | grep test
test:密码加密数据:18803:0:99999:7::: #此时,test 用户的密码 有效期 为99999 表示永不过期
[root@localhost ~]# chage -M 30 test #设置test 用户密码有效期为30 天
[root@localhost ~]# cat /etc/shadow | grep test
test:密码加密数据:18803:0:30:7::: #成功设置test 用户密码有效期为30 天
1.2.2 要求用户下一次 登录时修改密码
chage -d 0 用户名
[root@localhost ~]# cat /etc/shadow | grep wangwu
wangwu:!!:18803:0:30:7::: #表示上一次修改密码时间(从1970.01.01 开始计算),
[root@localhost ~]# chage -d 0 wangwu #设置用户wangwu 下一次登录时修改密码
[root@localhost ~]# cat /etc/shadow | grep wangwu
wangwu:!!:0:0:30:7::: #0表示下次登录强制修改密码
1.3 历史命令限制
历史命令,可以查看到用户之前输入的命令。
history 可以查看到用户的历史命令。历史命令默认保存1000 条。保存在 用户家目录 的 .bash_history 隐藏文件中
history -c 可以清空历史命令。但是,用户家目录下的 .bash_history 文件中依旧保存着历史命令
!命令字 可以执行最近使用的该命令字开头的命令
! 加编号 可以执行该编号的历史命令
[root@localhost ~]# !ls #调用最近一次以 ls 开头的命令
lsattr /etc/passwd /etc/shadow #这个是最近一次 以 ls 开头的命令,执行这个命令
---------------- /etc/passwd
---------------- /etc/shadow
[root@localhost opt]# ls
rh
[root@localhost opt]# history #查看历史命令
1 ls
2 cd .
3 rm -rf shadow.txt
4 ls
5 history
[root@localhost opt]# !1 #执行编号为 1 的历史命令
ls
rh
1.3.1 设置历史命令的数目
历史命令的配置 在 全局文件 /etc/profile 中 。有个字段
HISTSIZE=1000,设置了历史命令的数目
可以修改 HISTSIZE 的值 ,或者 新添加 字段 export HISTSIZE ,并设置数值
[root@localhost opt]# vim /etc/profile #修改全局配置文件
export HISTSIZE=30 #设置历史命令数为30
[root@localhost opt]# source /etc/profile #重新加载文件
1.3.2 设置登录时自动清空历史命令
用户每次登录时,都会加载 家目录下的 .bashrc 文件。用户的历史命令保存在 用户家目录的 .bash_history 文件中
所以,我们可以在 用户家目录下的 .bashrc 文件 中设置命令 来清空 家目录 下的 .bash_history 文件
root@localhost ~]# echo "echo '' >~/.bash_history " >> ~/.bashrc #将 echo '' > ~/.bash_history 追加重定向写入 到 ~/.bashrc 文件中
#echo '' > ~/.bash_history 表示 将空字符 覆盖重定向写入 到 ~/.bash_history 文件中[root@localhost ~]# history1 ifconfig2 ping www.baidu.com3 cd /etc/sysconfig/4 ls5 cd network-scripts/6 ls
[root@localhost ~]# init 6 #重启系统
[root@localhost ~]# history #历史命令被清空1 history
1.4 终端自动注销
修改全局配置文件 /etc/profile ,添加 字段 export TMOUT ,并设置数值(单位为秒)
[root@localhost ~]# echo "export TMOUT=600" >> /etc/profile #设置终端闲置600s 自动注销
[root@localhost ~]# source /etc/profile #重新加载文件
1.5 限制使用su 命令切换
将允许使用su 命令的用户加入到 wheel 组中
启用pam_wheel 认证模块 。 编辑 文件 /etc/pam.d/su
[root@localhost ~]# grep "wheel" /etc/group #查看wheel 组有哪些用户
wheel:x:10:test
[root@localhost ~]# gpasswd -a zhangsan wheel #将zhangsna 用户加入 wheel 组中
正在将用户“zhangsan”加入到“wheel”组中
[root@localhost ~]# grep "wheel" /etc/group
wheel:x:10:test,zhangsan[root@localhost ~]# vim /etc/pam.d/su #编辑 /etc/pam.d/su 文件
6// auth required pam_wheel.so use_uid #将文件 第6 行注释打开, 启用 pam_wheel 认证模块[lisi@localhost ~]$ whoami
lisi
[lisi@localhost ~]$ su - root #lisi 不在 wheel 组中,所以切换失败
密码:
su: 拒绝权限
[lisi@localhost ~]$ [zhangsan@localhost ~]$ whoami
zhangsan
[zhangsan@localhost ~]$ su - root #zhangsan 在wheel 组中 ,所以 可以切换
密码:
上一次登录:五 6月 25 10:19:00 CST 2021从 192.168.23.1pts/0 上
最后一次失败的登录:五 6月 25 10:46:41 CST 2021pts/0 上
最有一次成功登录后有 1 次失败的登录尝试。
[root@localhost ~]#
su 的操作记录会记录在 安全日志文件 /var/log/secure 中
1.6 配置sudo 授权
sudo 命令可以让普通用户 提权, 执行高权限用户 才可以执行的命令
[zhangsan@localhost opt]$ ls -ld #查看/opt/目录权限,发现只有 root 用户有写(w)的权限
drwxr-xr-x. 3 root root 34 6月 25 10:41 .
[zhangsan@localhost opt]$ whoami
zhangsan
[zhangsan@localhost opt]$ touch abc.txt #因为zhangsan 用户没有写(w)的权限,所以写入失败
touch: 无法创建"abc.txt": 权限不够
[zhangsan@localhost opt]$ sudo touch abc.txt #提权,在执行写入
[sudo] zhangsan 的密码: #输入zhangsan 用户密码
[zhangsan@localhost opt]$ ls
abc.txt rh #写入成功
1.6.1配置sudo 授权
vim /etc/sudoers 或者 visudo 编辑sudo 的配置文件 (注,vim /etc/sudoers 保存需要强制保存 :wq!)
格式:
用户 主机名=命令程序列表
用户 主机名=(使用哪个用户的权限) 命令程序列表
[lisi@localhost ~]$ sudo ifconfig ens33:1 192.168.100.100/24 #lisi 用户提权使用ifconfig 命令失败我们信任您已经从系统管理员那里了解了日常注意事项。
总结起来无外乎这三点:#1) 尊重别人的隐私。#2) 输入前要先考虑(后果和风险)。#3) 权力越大,责任越大。[sudo] lisi 的密码:
对不起,用户 lisi 无权以 root 的身份在 localhost.localdomain 上执行 /sbin/ifconfig ens33:1 192.168.100.100/24。
[lisi@localhost ~]$ exit
登出[root@localhost ~]# vim /etc/sudoers #修改配置文件 /etc/sudoers 或者 visudo
lisi ALL=/usr/sbin/* #允许lisi 用户在所有主机 使用 /usr/sbin/下的所有命令[root@localhost ~]# su - lisi[lisi@localhost ~]$ sudo ifconfig ens33:1 192.168.100.100/24 #提权使用ifconfig 命令成功
[sudo] lisi 的密码:
[lisi@localhost ~]$ ifconfig ens33:1
ens33:1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500inet 192.168.100.100 netmask 255.255.255.0 broadcast 192.168.100.255ether 00:0c:29:e8:7a:50 txqueuelen 1000 (Ethernet)
1.6.2 /etc/sudoers 文件的编辑语法格式
(1)如果主机没有设置过主机名,可以用localhost 表示本机 。有配置过的则用实际的主机名
(2) 可以使用通配符 * ,取反符号 !。
lisi centos=/usr/sbin/*,!/usr/sbin/ifconfig ,表示lisi 用户可以在 主机名为 centos 的主机上提权使用/usr/sbin/ 下的所有命令,除了 /usr/sbin/ifconfig 命令
(3) ALL 代表所有。
ALL ALL=ALL ,表示所有用户在所有主机可以提权使用所有命令
(4) 用% 表示组。
%wheel 表示wheel 组
(5) 可以使用NOPASSWD: 来免去提权时的密码输入
%wheel ALL=NOPASSWD: /usr/sbin/* #wheel 组用户可以在所有主机上提权使用 /usr/sbin/ 下的所有命令,并且不用输入密码
(6) 支持使用关键字设置和调用别名 ,但是 别名必须大写。关键字 User_Alias、Host_Alias, Cmnd_Alias,分别表示 用户,主机,命令列表
User_Alias USERS=zhangsan,lisi #设置别名,USERS表示 用户zhangsan,lisi
Host_Alias HOSTS=localhost,centos #HOSTS 表示 主机名 localhost ,centos
Cmnd_Alias CMNDS=/usr/sbin/ifconfig,/usr/sbin/useradd #CMNDS 表示 命令 /usr/sbin/ifconfig 和 /usr/sbin/useradd
USERS HOSTS=CMNDS #调用别名。
#允许用户zhangsan,lisi ,在本机 和 主机名centos 主机上允许 提权使用命令 /usr/sbin/ifconfig 和命令 /usr/sbin/useradd
1.6.3 查看 sudo -l 查看用户的提权
[zhangsan@localhost ~]$ sudo -l
[sudo] zhangsan 的密码:
用户 zhangsan 可以在 localhost 上运行以下命令:(ALL) ALL
1.6.4 查看sudo 操作记录
sudo 的默认日志文件 /var/log/sudo
添加字段 Defaults logfile="/var/log/sudo" ,开启日志
二:系统引导和控制登录
2.1 开关机安全控制
2.1.1 调整BIOS 引导设置
(1) 将第一引导设备设置为当前系统所在硬盘
(2) 禁止从其他设备(光盘,U盘,网络)引导设备
(3)将安全级别设为setup ,并设置管理员密码
2.1.2 GRUB 限制
重启系统时,按 e 直接就可以进入GRUB 菜单。需要进行限制,设置密码
[root@localhost ~]# grub2-mkpasswd-pbkdf2 #设置密码
输入口令:
Reenter password:
PBKDF2 hash of your password is grub.pbkdf2.略过,这是一长串的密码加密[root@localhost ~]# cp /boot/grub2/grub.cfg /boot/grub2/grub.bak
[root@localhost ~]# cp /etc/grub.d/00_header /etc/grub.d/00_header.bak #备份这两个文件[root@localhost ~]# vim /etc/grub.d/00_header #编辑文件
cat << EOF
set superusers="root"
password_pbkdf2 root grub.pbkdf2......
EOF[root@localhost ~]# grub2-mkconfig -o /boot/grub2/grub.cfg
重启系统,进入grub 菜单需要输入账户和密码
2.2 终端登录控制
2.2.1 限制root 只在安全终端登录
安全终端配置 /etc/securetty
[root@localhost logs]# vim /etc/securetty #编辑配置文件,将禁止root 登录的终端注释。如注释 tty2,就禁止root在tty1 终端登录
tty1
tty2
tty3
tty4
tty5
tty6
tty7
tty8
tty9
2.2.1 禁止普通用户登录
建立 /etc/nologin 文件。 建立后,所有的普通用户将无法登录。删除文件后,恢复正常。或者重启系统后,/etc/nologin 文件自动消失
[root@localhost ~]# touch /etc/nologin
三:网络端口扫描
3.1 NMAP 工具扫描
(1) 下载软件包
[root@promote ~]# rpm -qa |grep nmap
nmap-6.40-7.el7.x86_64 #如果没有安装此软件包,则下载
nmap-ncat-6.40-19.el7.x86_64[root@promote ~]# yum -y install nmap
(2) 使用nmap 工具
nmap命令常用的选项和扫描类型
-p:指定扫描的端口.
-n :禁用反向DNS解析(以加快扫描速度)。
-sS: TCP的SYN扫描(半开扫描) ,只向目标发出SYN数据包,如果收到SYN/ACK响应包就认为目标端口正在监听,并立即断开连接;否则认为目标端口并未开放。
-sT : TCP连接扫描,这是完整的TCP扫描方式(默认扫描类型) ,用来建立一个TCP连接,如果成功则认为目标端口正在监听服务,否则认为目标端口并末开放。
-sF: TCP的FIN扫描,开放的端口会忽略这种数据包,关闭的端口会回应RST数据包。许多防火墙只对SYN数据包进行简单过滤,而忽略了其他形式的TCP攻击包。这种类型的扫描可间接检测防火墙的健壮性
-sU: UDP扫描,探测目标主机提供哪些UDP服务, UDP扫描的速度会比较慢
-sP: ICMP扫描,类似于ping检测,快速判断目标主机是否存活,不做其他扫描
-P0 :跳过ping检测,这种方式认为所有的目标主机是存活的,当对方不响应ICMP请求时,使用这种方式可以避免因无法ping通而放弃扫描
[root@promote ~]# nmap -p 80 192.168.23.0/24 #查看192.168.23.0 网段,开发80 端口的有哪些Starting Nmap 6.40 ( http://nmap.org ) at 2021-06-26 16:59 CST
Nmap scan report for promote.ldns.rate.local (192.168.23.1) #主机iP 地址
Host is up (0.00015s latency).
PORT STATE SERVICE
80/tcp filtered http
MAC Address: 00:50:56:C0:00:08 (VMware) #主机mac地址[root@promote ~]# nmap -n -sP 192.168.23.0/24 # 快速扫描查看192.168.23.0 网段哪些主机可以ping通Starting Nmap 6.40 ( http://nmap.org ) at 2021-06-26 16:59 CST
Nmap scan report for 192.168.23.1
Host is up (0.000069s latency).
MAC Address: 00:50:56:C0:00:08 (VMware)
Nmap scan report for 192.168.23.2
Host is up (0.000034s latency).
MAC Address: 00:50:56:ED:B2:47 (VMware)
Nmap scan report for 192.168.23.254
Host is up (0.000043s latency).
MAC Address: 00:50:56:EB:E6:DF (VMware)
Nmap scan report for 192.168.23.10
Host is up.
Nmap done: 256 IP addresses (4 hosts up) scanned in 1.96 seconds[root@promote ~]# nmap -n -sT 192.168.23.10 # 快速扫描目标 主机开放的 tcp 端口Starting Nmap 6.40 ( http://nmap.org ) at 2021-06-26 17:00 CST
Nmap scan report for 192.168.23.10
Host is up (0.00036s latency).
Not shown: 997 closed ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
111/tcp open rpcbindNmap done: 1 IP address (1 host up) scanned in 0.04 seconds
3.2 netstat 命令
netstat命令常用选项:
-a :显示主机中所有活动的网络连接信息(包括监听、非监听状态的服务端口)
-n :以数字的形式显示相关的主机地址、端口等信息。
-t :查看TCP相关的信息。
-u :显示UDP协议相关的信息。
-p :显示与网络连接相关联的进程号、进程名称信息(该选项需要root权限)
-r :显示路由表信息。
-l :显示处于监听状态的网络连接及端口信息。
-i : 显示网卡接口信息
netstat -natp #查看正在运行使用tcp 协议的相关信息
netstat -naup #查看正在运行使用的 udp 协议 相关信息
netstat -na | more # more 查看所有开放的端口信息
netstat -i 或者 netstat -ie #显示网卡接口信息。
linux如何限制普通账户权限,设置登录?相关推荐
- linux sftp没有读写权限,Linux下SFTP用户权限设置条件及实现命令
Linux下SFTP用户权限设置条件及实现命令 众所周知SFTP账号是基于SSH账号的,所以在默认情况下访问服务器的权限是非常大的,今天的教程就是教大家进行SFTP用户权限设置. 必要条件: 你的op ...
- linux系统电脑的权限设置,Linux下的文件权限设置修改详解linux操作系统 -电脑资料...
在linux中更改所属用户组是使用chgrp,更改文件拥有者, chown,更改9个属性, chmod这三种常用的问题,在linxu中这三个命令就是对文件目录权限的控制命令了,下面我来介绍它们的用法与 ...
- Linux用户管理,文件夹权限设置,登录指定目录
1. 用户设置 #新增用户 useradd username #设置密码 passwd username #连续输两次密码完成用户设置#删除用户 userdel username #删除用户及删除创建 ...
- Linux操作系统下的权限设置
引言 Linux操作系统是一个多用户的操作系统,可以同时存在多个用户去访问我们的设备:在同一台Linux设备下,当我们不希望我们的文件被其它用户访问时,我们可以为其设置相应的权限~ Shell外壳程序 ...
- Linux用户管理及权限设置
一.概述-基本常识 作为多用户.多任务(Multi-Users,Multi-tasks)的服务器操作系统,Linux提供了严格的权限管理机制,主要从用户身份.文件权限两个方面对资源进行限制.Lin ...
- linux 7共享文件夹权限设置,CentOS7配置共享文件夹
1.打开CentOS7的终端Konsole,使用"rpm -qi samba"命令查询是否已经安装了Samba, 然后使用"yum install samba" ...
- linux下新文件权限设置之umask的理解
起源是一道题1:如果你的umask设置为022,缺省的你创建的文件权限为? 这让我回忆起被问过的另外一道题2: 777表示什么权限? 用户组说明 -rwxrw-r‐-1 root root 1213 ...
- linux web文件夹权限设置,WEB文件目录权限设置与修改方法
烈火网(LieHuo.Net)教程 很多web程序大多数在上传完程序并准备执行安装脚本的时候都需要修改部分目录和文件的权限,比如安装和升级 Discuz! 需要修改 ./attachments../f ...
- linux 给权限命令,Linux小白实用命令--权限设置
写给文达,一位上进爱学习的90后IOS程序员. 用途:解决程序无法正常使用文件 命令:6个 ,掌握时间:30分钟 mkdir logs #创建logs目录 mkdir -p cms/content/l ...
最新文章
- Vlan中的 PVID vid tag untag 常识理论
- 计算机网络基础 — 网络设备 — 网桥(Bridge)
- 北京 | 免费高效训练及OpenVINO™加速推理深度学习实战,送Intel神经计算棒二代...
- 大话移动通信pdf_移动通信是怎么实现的?
- Spring Boot注解
- 你需要掌握的事件分发高阶知识
- ESFramework介绍之(34)―― ITcpServerAgent和IUdpServerAgent组件关系图
- LeetCode-2: Add Two Numbers
- 随手记_ubuntu下配置vscode+cmake c++开发环境
- adb脚本选择语句_Python开发:王者荣耀自动刷金币脚本
- 微信养号防封攻略_防封群微信怎么卖
- Fluentd日志采集使用教程
- Chaos 发布流体模拟王者 Phoenix 的5.0版本!
- win10 软路由_破费装了台LEDE软路由,测试WAN口能否跑万兆(中篇)
- ## 全国各地“十四五”能源发展规划,这里都有了!
- php 如何拉取百度统计,如何添加百度统计工具?-MetInfo帮助中心
- 贪吃蛇游戏 js网页版
- java Optional操作
- STM32——浅谈睡眠模式、停机模式、待机模式
- 抢救DB2数据之终极工具:db2dart