文章目录

SSH服务配置补充
- 设置是否使用基于主机的验证
- 禁止解析SSH环境变量
- 使用经过校验的MAC算法
- 设置登录SSH提示信息
配置PAM密码安全策略
- 创建一定强度的密码
- 登录失败超过限定次数之后锁定配置方法:
- 限制密码重用
- 设置密码有效期
- 限制无效密码的账户锁定时间
- 确保root账户的默认组为GID 0运行以下命令将root用户默认组设置为GID 0 :
- 限制用户的umask值027
- 删除root之外UID为0的用户

SSH服务配置补充

设置是否使用基于主机的验证

描述:
HostbasedAuthentication参数指定是否允许可信主机通过rhosts或/etc/hosts.
equiv胪进行身份验证以及成功的公钥落户机主机身份验证。此选项只适用于SSH
V2版本。
配置：
编辑/etc/ssh/sshd_ config文件来设置如下所示参数:
HostbasedAuthentication no

禁止解析SSH环境变量

允许用户通过SSH守护进程设置环境变量可能会导致用户绕过安全控制（设置既有SSH执行木马程序的执行路径），PermitUserEnvironment选项允许用户向ssh守护进程显示环境选项。
编辑/etc/ssh/sshd. .config文件来设置如下所示参数:
PermitUserEnvironment no

使用经过校验的MAC算法

MD5和96位MAC算法被认为是较弱的加密算法，并且在SSH降级攻击中具有较高的可利用性。弱加密通信算法作为一个可以被扩展的计算能力加以利用的薄弱环节，受到人们的广泛关注。破解算法的攻击者可以利用MiTM的弱点解密SSH隧道并捕获凭证和信息。
加固：限制SSH在用心期间可以使用的MAC算法类型。
配置方法:
编辑/etc/ssh/sshd_ config文件，根据站点策略设置参数来设置如下所示参数:
hmac-sha2-256,hmac-sha2-512

设置登录SSH提示信息

Banners用于警告连接用户浏览的特定站点的连接策略。Banner参数指定一个文件，该文件的内容必须在允许身份验证之前发送给远程用户。
配置：
编辑:/etc/ssh/sshd_config文件设置如下参数：
sBanner /etc/issue.net（指定的文件的路径）

配置PAM密码安全策略

创建一定强度的密码

pam_ pwquality.so模块检查密码的强度。它检查确保密码不是字典中的单词，密码含有一定的长度，包含混合字符(如字母、数字、其他)和更多密码选项。（防爆破）
配置方法:
1、编辑/etc/ pam.d/password-auth和/etc/pam.d/system-auth文件，以设置pam_ pwquality.so模块的适当选项生成强大密码:
参数：
password requisite pam_ pwquality.so try_ first pass retry=3
/etc/pam.d/password-auth和/etc/pam.d/system-auth文件中选项设置:
password requisite pam_ pwquality.so try_ first pass retry=3
之后编辑/etc/security/pwquality.conf文件，添加或更新以下设置:
minlen = 14 dcredit = -1 ucredit = -1 ocredit = -1
Icredit = -1

登录失败超过限定次数之后锁定配置方法:

配置：
1、编辑/etc/pam.d/password-auth和/etc/pam.d/system-auth文件，添加以
下参数，以设置am_ fillock.so和pam unix.so |模块的适当选项限制登录失败次数:
auth required pam_ faillock.so preauth audit silent deny=5 unlock_ time=900
auth [success=1 default=bad] pam unix.so
auth [default= die] pam_faillock.so authfail audit deny= 5 unlock _time=900
auth sufficient pam faillock.so authsucc audit deny= 5 unlock_time=900

限制密码重用

不重复使用过去的密码，降低攻击者猜到用户正在使用的密码的可能性。
配置：
编辑/etc/pam.d/password-auth和/etc/pam.d/system-auth文件，在pam unix.so模块下设置remember参数:
password sufficient pam unix.so remember=5

设置密码有效期

设置的密码在多久之后过期，设置有效期并进行及时更换密码能降低被猜到密码的概率。有效事件设置为小于等于365天都行。
配置：
1、设置PASS_ MAX_ DAYS参数以符合/etc/login.defs中的站点策略:
PASS MAX DAYS 90
2、修改密码设置为匹配的用户的用户参数:
chage --maxdays 90 <user>

限制无效密码的账户锁定时间

配置方法:
1、运行以下命令将默认的密码不活动期设置为30天:
useradd -D -f 30
2、修改密码设置为匹配的所有用户的用户参数:
chage --inactive 30 <user>

确保root账户的默认组为GID 0运行以下命令将root用户默认组设置为GID 0 :

配置：
usermod -g 0 rootl

限制用户的umask值027

umask后面的数字，是权限减去的数字。例如：
相当于是777-022=755也就是rwx-r-x-r-x除了属主以外其他用户只有读和运行的权限。

配置方法:
编辑/etc/bashrc, / etc / profile和/etc/profile.d/*.sh文件，如下添加或编辑任何umask参数可限制对应用户的权限。:
umask 027

删除root之外UID为0的用户

配置方法：
userdel -r <用户>
检查：
awk -F: ‘($3 == 0) { print $1 }’ /etc/passwd

Linux访问身份验证和授权相关推荐

AAA（身份验证，授权和记账）简介
AAA服务器 AAA是认证,授权和计费(认证,授权,计费)的三个英文字的缩写.其主要目的是管理哪些用户可以访问网络服务器,哪些服务可供具有访问权限的用户使用,以及如何考虑使用网络资源的用户.具体来说: ...
使用kubectl访问Kubernetes集群时的身份验证和授权
全栈工程师开发手册 (作者:栾鹏) 架构系列文章 kubectl是日常访问和管理Kubernetes集群最为常用的工具. 当我们使用kubeadm成功引导启动(init)一个Kubernetes集群的 ...
iis授权mysql验证_ASP.NET Web API身份验证和授权
本文是作者所理解和翻译的内容. 这篇文章包括两部分:身份验证和授权. 身份验证用来确定一个用户的身份.例如,Alice用她的用户名和密码登陆系统,服务器用她的用户名和密码来确定她的身份. 授权是判断一 ...
ASP.NET Web API身份验证和授权
英语原文地址:http://www.asp.net/web-api/overview/security/authentication-and-authorization-in-aspnet-web-a ...
.NET6之MiniAPI(九)：基于角色的身份验证和授权
身份验证是这样一个过程:由用户提供凭据,然后将其与存储在操作系统.数据库.应用或资源中的凭据进行比较. 在授权过程中,如果凭据匹配,则用户身份验证成功,可执行已向其授权的操作. 授权指判断允许用户执行 ...
开源软件加密授权方案_身份验证和授权作为开源解决方案服务
开源软件加密授权方案通过实施身份验证和授权(a&a)机制为所有用户数据设计集中式服务. 我将分享我的经验并最终确定解决方案的结论. 该设计包括客户端(Web应用程序)和服务器(A&A ...
身份验证和授权作为开源解决方案服务
通过实施身份验证和授权(a&a)机制为所有用户数据设计集中式服务. 我将分享我的经验并最终确定解决方案的结论. 该设计包括客户端(Web应用程序)和服务器(A&A中心). 术语: 1. ...
使用JWT的ASP.NET CORE令牌身份验证和授权（无Cookie）——第2部分
目录介绍用户角色如何创建自定义授权特性? AuthorizeAttribute AuthorizeFilter 如何在控制器和操作方法级别设置权限? 检查用户权限的扩展方法如何在操作方法(内联 ...
使用JWT的ASP.NET CORE令牌身份验证和授权（无Cookie）——第1部分
目录介绍 JWT(JSON Web令牌) ASP.NET Core中的JWToken配置用户模型类创建令牌第1步第2步第4步令牌存储中间件自定义中间件app.Use() 中间件app ...

Linux访问身份验证和授权