Linux访问身份验证和授权
文章目录
- SSH服务配置补充
- 设置是否使用基于主机的验证
- 禁止解析SSH环境变量
- 使用经过校验的MAC算法
- 设置登录SSH提示信息
- 配置PAM密码安全策略
- 创建一定强度的密码
- 登录失败超过限定次数之后锁定配置方法:
- 限制密码重用
- 设置密码有效期
- 限制无效密码的账户锁定时间
- 确保root账户的默认组为GID 0运行以下命令将root用户默认组设置为GID 0 :
- 限制用户的umask值027
- 删除root之外UID为0的用户
SSH服务配置补充
设置是否使用基于主机的验证
描述:
HostbasedAuthentication参数指定是否允许可信主机通过rhosts或/etc/hosts.
equiv胪进行身份验证以及成功的公钥落户机主机身份验证。此选项只适用于SSH
V2版本。
配置:
编辑/etc/ssh/sshd_ config文件来设置如下所示参数:
HostbasedAuthentication no
禁止解析SSH环境变量
允许用户通过SSH守护进程设置环境变量可能会导致用户绕过安全控制(设置既有SSH执行木马程序的执行路径),PermitUserEnvironment选项允许用户向ssh守护进程显示环境选项。
编辑/etc/ssh/sshd. .config文件来设置如下所示参数:
PermitUserEnvironment no
使用经过校验的MAC算法
MD5和96位MAC算法被认为是较弱的加密算法,并且在SSH降级攻击中具有较高的可利用性。弱加密通信算法作为一个可以被扩展的计算能力加以利用的薄弱环节,受到人们的广泛关注。破解算法的攻击者可以利用MiTM的弱点解密SSH隧道并捕获凭证和信息。
加固:限制SSH在用心期间可以使用的MAC算法类型。
配置方法:
编辑/etc/ssh/sshd_ config文件, 根据站点策略设置参数来设置如下所示参数:
hmac-sha2-256,hmac-sha2-512
设置登录SSH提示信息
Banners用于警告连接用户浏览的特定站点的连接策略。Banner参数指定一个文件,该文件的内容必须在允许身份验证之前发送给远程用户。
配置:
编辑:/etc/ssh/sshd_config文件设置如下参数:
sBanner /etc/issue.net(指定的文件的路径)
配置PAM密码安全策略
创建一定强度的密码
pam_ pwquality.so模块检查密码的强度。它检查确保密码不是字典中的单词,密码含有一定的长度,包含混合字符(如字母、数字、其他)和更多密码选项。(防爆破)
配置方法:
1、编辑/etc/ pam.d/password-auth和/etc/pam.d/system-auth文件,以设置pam_ pwquality.so模块的适当选项生成强大密码:
参数:
password requisite pam_ pwquality.so try_ first pass retry=3
/etc/pam.d/password-auth和/etc/pam.d/system-auth文件中选项设置:
password requisite pam_ pwquality.so try_ first pass retry=3
之后编辑/etc/security/pwquality.conf文件, 添加或更新以下设置:
minlen = 14 dcredit = -1 ucredit = -1 ocredit = -1
Icredit = -1
登录失败超过限定次数之后锁定配置方法:
配置:
1、编辑/etc/pam.d/password-auth和/etc/pam.d/system-auth文件, 添加以
下参数,以设置am_ fillock.so和pam unix.so |模块的适当选项限制登录失败次数:
auth required pam_ faillock.so preauth audit silent deny=5 unlock_ time=900
auth [success=1 default=bad] pam unix.so
auth [default= die] pam_faillock.so authfail audit deny= 5 unlock _time=900
auth sufficient pam faillock.so authsucc audit deny= 5 unlock_time=900
限制密码重用
不重复使用过去的密码,降低攻击者猜到用户正在使用的密码的可能性。
配置:
编辑/etc/pam.d/password-auth和/etc/pam.d/system-auth文件,在pam unix.so模块下设置remember参数:
password sufficient pam unix.so remember=5
设置密码有效期
设置的密码在多久之后过期,设置有效期并进行及时更换密码能降低被猜到密码的概率。有效事件设置为小于等于365天都行。
配置:
1、设置PASS_ MAX_ DAYS参数以符合/etc/login.defs中的站点策略:
PASS MAX DAYS 90
2、修改密码设置为匹配的用户的用户参数:
chage --maxdays 90 <user>
限制无效密码的账户锁定时间
配置方法:
1、运行以下命令将默认的密码不活动期设置为30天:
useradd -D -f 30
2、修改密码设置为匹配的所有用户的用户参数:
chage --inactive 30 <user>
确保root账户的默认组为GID 0运行以下命令将root用户默认组设置为GID 0 :
配置:
usermod -g 0 rootl
限制用户的umask值027
umask后面的数字,是权限减去的数字。例如:
相当于是777-022=755也就是rwx-r-x-r-x除了属主以外其他用户只有读和运行的权限。
配置方法:
编辑/etc/bashrc, / etc / profile和/etc/profile.d/*.sh文件,如下添加或编辑任何umask参数可限制对应用户的权限。:
umask 027
删除root之外UID为0的用户
配置方法:
userdel -r <用户>
检查:
awk -F: ‘($3 == 0) { print $1 }’ /etc/passwd
Linux访问身份验证和授权相关推荐
- AAA(身份验证,授权和记账)简介
AAA服务器 AAA是认证,授权和计费(认证,授权,计费)的三个英文字的缩写.其主要目的是管理哪些用户可以访问网络服务器,哪些服务可供具有访问权限的用户使用,以及如何考虑使用网络资源的用户.具体来说: ...
- 使用kubectl访问Kubernetes集群时的身份验证和授权
全栈工程师开发手册 (作者:栾鹏) 架构系列文章 kubectl是日常访问和管理Kubernetes集群最为常用的工具. 当我们使用kubeadm成功引导启动(init)一个Kubernetes集群的 ...
- iis授权mysql验证_ASP.NET Web API身份验证和授权
本文是作者所理解和翻译的内容. 这篇文章包括两部分:身份验证和授权. 身份验证用来确定一个用户的身份.例如,Alice用她的用户名和密码登陆系统,服务器用她的用户名和密码来确定她的身份. 授权是判断一 ...
- ASP.NET Web API身份验证和授权
英语原文地址:http://www.asp.net/web-api/overview/security/authentication-and-authorization-in-aspnet-web-a ...
- .NET6之MiniAPI(九):基于角色的身份验证和授权
身份验证是这样一个过程:由用户提供凭据,然后将其与存储在操作系统.数据库.应用或资源中的凭据进行比较. 在授权过程中,如果凭据匹配,则用户身份验证成功,可执行已向其授权的操作. 授权指判断允许用户执行 ...
- 开源软件加密授权方案_身份验证和授权作为开源解决方案服务
开源软件加密授权方案 通过实施身份验证和授权(a&a)机制为所有用户数据设计集中式服务. 我将分享我的经验并最终确定解决方案的结论. 该设计包括客户端(Web应用程序)和服务器(A&A ...
- 身份验证和授权作为开源解决方案服务
通过实施身份验证和授权(a&a)机制为所有用户数据设计集中式服务. 我将分享我的经验并最终确定解决方案的结论. 该设计包括客户端(Web应用程序)和服务器(A&A中心). 术语: 1. ...
- 使用JWT的ASP.NET CORE令牌身份验证和授权(无Cookie)——第2部分
目录 介绍 用户角色 如何创建自定义授权特性? AuthorizeAttribute AuthorizeFilter 如何在控制器和操作方法级别设置权限? 检查用户权限的扩展方法 如何在操作方法(内联 ...
- 使用JWT的ASP.NET CORE令牌身份验证和授权(无Cookie)——第1部分
目录 介绍 JWT(JSON Web令牌) ASP.NET Core中的JWToken配置 用户模型类 创建令牌 第1步 第2步 第4步 令牌存储 中间件 自定义中间件app.Use() 中间件app ...
最新文章
- WSL2问题汇总:转换为WSL2、WSL2代理、安装MySQL等
- 有了这个 IDEA的兄弟,你还用 Navicat 吗?全家桶不香吗?
- 使用STC8H1K28控制微型磁悬浮
- Python学习入门基础教程(learning Python)--3.3.3 Python逻辑关系表达式
- 神目 Android 人脸识别SDK编译说明
- CenterOS x64安装serv-U
- 用多态和组合替换多个条件
- 腾讯吃鸡 android,腾讯吃鸡手游《光荣使命》正式上线:安卓/iOS不限号测试
- 人工智能在fpga的具体应用_人工智能带动了FPGA的发展
- python ftp上传_Python FTP传输的简单示例
- int** 赋值_关于Java语言复合赋值运算符的两个问题,快来瞧瞧
- python 复制文件并重命名_好书推荐 | Python 如此神奇,让繁琐工作自动化
- 交换机分布缓存_网络核心交换机和普通交换机有什么区别?
- Python网络爬虫第一弹《Python网络爬虫相关基础概念》
- Ubuntu PPPOE拨号
- pdfjs识别pdf文字
- Win10 Ctrl+Alt+方向键 屏幕显示翻转解决办法
- Xshell超250+配色方案(主题) 及其推荐
- RDS数据库空间满了怎么办?
- 【MRI】GRAPPA (GeneRalized Autocalibrating Partially Parallel Acquisitions) 算法 仿真实验与原理剖析 (Matlab 实现)