Linux账号安全控制与PAM认证模块
这里写目录标题
- 一、账号安全控制
- 1.1、系统账号清理
- ①、将非登录用户的Shell设为/sbin/nologin
- ②、锁定长期不使用的账号
- ④、解锁账号
- ⑤、删除无用的账号
- ⑥、锁定账号文件 passwd、shadow
- 1.2、密码安全控制
- ①、设置密码有效期**
- ②、要求用户下次登录时修改密码
- ③、命令历史限制
- ④、终端自动注销
- ⑤、切换用户:su
- ⑥、限制使用su命令切换用户
- 二、PAM认证模块
- 2.1、Linux中的PAM安全认证
- 2.2、PAM认证原理
- 2.3、PAM认证的结构
- 2.4、PAM安全认证流程
- 三、使用sudo机制提升权限
- 3.1、配置sudo授权
- 3.2、查看sudo操作记录
- 3.3、开关机安全控制
- 限制更改GRUB引导参数
- 四、终端登录安全控制
- 五、系统弱口令检测
- 5.1、网络端口扫描
- 六、控制台命令:netstat
一、账号安全控制
1.1、系统账号清理
①、将非登录用户的Shell设为/sbin/nologin
usermod -s /sbin/nologin 用户名 #禁止用户登录
②、锁定长期不使用的账号
usermod -L 用户名
passwd -l 用户名
passwd -S 用户名
④、解锁账号
passwd -u [用户名] #解锁用户
⑤、删除无用的账号
userdel [-r] 用户名
⑥、锁定账号文件 passwd、shadow
chattr +i /etc/passwd /etc/shadow #锁定文件
lsattr /etc/passwd /etc/shadow #查看状态
chattr -i /etc/passwd /etc/shadow
1.2、密码安全控制
①、设置密码有效期**
设置已经存在的用户密码有效期
chage -M 时间 用户名
设置新建用户密码有效期
vim /etc/login.defs
②、要求用户下次登录时修改密码
chage -d 0 shixiao #强制在登录时修改密码
cat /etc/shadow | grep shixiao #shadow文件中的第三个字段被修改为0
③、命令历史限制
减少记录的命令条数
vi /etc/profile
- 登录时自动清空历史命令
- 临时清空
history -c - 永久清空
- 临时清空
④、终端自动注销
[root@localhost ~]# vi/etc/profile
......
export TMOUT=600 #设置注销时间为600秒
[root@localhost ~]# source /etc/profile #重新加载配置文件
⑤、切换用户:su
用途及用法
用途
Substitute User,切换用户格式
[root@localhost ~]# su 目标用户
密码验证
- root→任意用户,不验证密码
- 普通用户→其他用户,验证目标用户的密码
⑥、限制使用su命令切换用户
将允许使用su命令的用户加入wheel组中
gpasswd -a shixiao wheel
启用pam_wheel认证模块
vi /etc/pam.d/su
二、PAM认证模块
2.1、Linux中的PAM安全认证
su命令的安全隐患
- 默认情况下,任何用户都允许使用su命令,有机会反复尝试其他用户(如root)的登录密码,带来安全风险
- 为了加强su命令的使用控制,可借助于PAM认证模块,只允许极个别用户使用su命令进行切换
PAM可插拔式认证模块
- 是一种高效而且灵活便利的用户级别的认证方式
- 也是当前Linux服务器普遍使用的认证方式
2.2、PAM认证原理
一般遵循的规律
- Service(服务)→ PAM(配置文件)→ pam_*.so
- 首先要确定哪一项服务,然后加载相应的 PAM 的配置文件(位于 /etc/pam.d 下),最后调用认证文件(位于 /lib64/security 下)进行安全认证
- 用户访问服务器时,服务器的某一个服务程序把用户的请求发送到 PAM 模块进行认证
- 不同的应用程序所对应的 PAM 模块是不同的
2.3、PAM认证的结构
查看某个程序是否支持PAM认证,可以用ls命令
示例:查看su是否支持PAM模块认证
ls /etc/pam.d | grep su
查看su的PAM配置文件:cat /etc/pam.d/su
每一行都是一个独立的认证过程
每一行可以区分为三个字段
- 认证类型
- 控制类型
- PAM模块及其参数
PAM每一列名称的解释
第–列代表PAM认证模块类型
auth: 对用户身份进行识别,如提示输入密码,判断是否为root。
account: 对账号各项属性进行检查,如是否允许登录系统,帐号是否已经过期,是否达到最大用户数等。
password: 使用用户信息来更新数据,如修改用户密码。
session:定义登录前以及退出后所要进行的会话操作管理,如登录连接信息,用户数据的打开和关闭,挂载文件系统。
第二列代表PAM控制标记
required:表示需要返回一-个成功值,如果返回失败,不会立刻将失败结果返回,而是继续进行同类型的下一验证,所有此l类型的模块都执行完成后,再返回失败。
requisite:与required类似,但如果此模块返回失败,则立刻返回失败并表示此类型失败。
sufficient:如果此模块返回成功,则直接向程序返回成功,表示此类成功,如果失败,也不影响这类型的返回值。
optional:不进行成功与否的返回,一般不用于验证,只是显示信息(通常用于session 类型)。
include:表示在验证过程中调用其他的PAM配置文件。比如很多应用通过完整调用/etc/pam.d/system-auth(主要负责用户登录系统的认证工作)来实现认证而不需要重新逐一去写配置项。
第三列代表PAM模块,默认是在/1ib64/security/目录下,如果不在此默认路径下,要填写绝对路径。
同一个模块,可以出现在不同的模块类型中,它在不同的类型中所执行的操作都不相同,这是由于每个模块针对不同的模块类型编制了不同的执行函数。
第四列代表PAM模块的参数,这个需要根据所使用的模块来添加。
传递给模块的参数。参数可以有多个,之间用空格分隔开
2.4、PAM安全认证流程
控制类型也称做Control Flage,用于PAM验证类型的返回结果
- required验证失败时仍然继续,但返回fail
- requisite验证失败则立即结束整个验证过程,返回Fail
- sufficient验证成功则立即返回,不再继续,否则忽略结果并继续
- optional不用于验证,只显示信息(通常用于session类型)
三、使用sudo机制提升权限
su命令的缺点
- 默认情况下,任何用户都能使用 su 命令,有机会反复尝试其他用户(如root)的登录密码,带来安全风险
sudo命令的用途及用法
用途:以其他用户身份(如root)执行授权的命令
用法:
sudo 授权命令
3.1、配置sudo授权
visudo或者vi /etc/sudoers
记录格式
用户 主机名=命令程序列表用户 主机名=(用户) 命令程序列表
用户 | 直接授权指定的用户名,或采用“组名"的形式(权一个组的所有用户) |
---|---|
主机名 | 使用此规则的主机名。没配置过主机名时可用localhost,有配过主机名则用实际的主机名,ALL则代表所有主机 |
(用户) | 用户能够以何种身份来执行命令。此项可省略,缺省时以root用户的身份来运行命令 |
命令程序列表 | 允许授权的用户通过sudo方式执行的特权命令,需填写命令程序的完整路径,多个命令之间以逗号 “,” 进行分隔。ALL则代表系统中的所有命令 |
Tom ALL=sbin/ifconfig
Jerry localhost=/sbin/*,!/sbin/reboot,!/sbin/poweroff #通配符“*”表示所有、取反符号“!”表示排除
记录格式可使用通配符
* | 表示所有 |
---|---|
! | 取反符号,表示排除 |
%wheel ALL=NOPASSWD:ALL #表示wheel组成员无需验证密码即可使用sudo执行任何命令
Mike ALL=(root)NOPASSWD: /bin/kill, /usr/bin/killall
3.2、查看sudo操作记录
启用sudo操作日志
默认日志文件:/var/log/sudo
visuduDefaults logfile = “/var/log/sudo”
①
②
③
④
⑤
3.3、开关机安全控制
调整BIOS引导设置
- 将第一引导设备设为当前系统所在硬盘
- 禁止从其他设备(光盘、U盘、网络)引导系统
- 将安全级别设为setup,并设置管理员密码
GRUB限制
- 使用grub2-mkpasswd-pbkdf2生成密钥
- 修改/etc/grub.d/00_header文件中,添加密码记录
- 生成新的grub.cfg配置文件
限制更改GRUB引导参数
通常情况下在系统开机进入GRUB菜单时,按e键可以查看并修改GRUB引导参数,这对服务器是–个极大的威胁。
可以为GRUB菜单设置一-个密码,只有提供正确的密码才被允许修改引导参数。
①
cp /boot/grub2/grub.cfg /boot/ grub2/grub. cfg.bak #备份grub.cfg文件
cp /etc/grub.d/00_header /etc/grub. d/00_header. bak #备份头文件
②
grub2-mkpasswd- pbkdf2 #根据提示设置GRUB菜单的密码PBKDF2 hash of your password is grub. pbkd..... . #省略部分内容为经过加密生成的密码字符串
③
vim /etc/grub.d/00_header #进入vim编辑器修改头文件
cat << EOF #加入以下内容
set superusers="root" #设置用户名为root
password_pbkdf2 root grub.pbkd2..... #设置密码,省略部分内容为经过加密生成的密码字符串
EOF
④
grub2 -mkconfig -o /boot/grub2/grub.cfg #生成新的 grub.cfg 文件
⑤
重启系统进入GRUB菜单时,按e键将需要输入账号密码才能修改引导参数。
四、终端登录安全控制
限制root只在安全终端登录
- 安全终端配置:/etc/ securetty
禁止root 用户登录
在Linux 系统中,login程序会读取/etc/securetty 文件,以决定允许root用户从哪些终端(安全终端)登录系统。
vim /etc/securetty
#tty5 #禁止root用户从终端tty5登录
#tty6. ##禁止root用户从终端tty5登录
禁止普通用户登录
- 建立/etc/nologin文件
- 删除nologin文件或重启后即恢复正常
[root@localhost ~]# touch /etc/nologin #禁止普通用户登录
[root@localhost ~]# rm -rf /etc/nologin #取消上述登录限制
五、系统弱口令检测
Joth the Ripper,简称为 JR
- 款密码分析工具,支持字典式的暴力破解
- 通过对shadow文件的口令分析,可以检测密码强度
- 官方网站: http://www.openwall.com/john/
①解压工具包
cd /opt
tar zxf john-1.8.0. tar.gz
②安装软件编译工具
yum install -y gcc gcc-c++ make
③切换到src子目录
cd /opt/john-1.8.0/src
④进行编译安装
make clean linux-x86-64
⑤准备待破解的密码文件
cp /etc/ shadow /opt/ shadow. txt
⑥执行暴力破解
cd /opt/john-1.8.0/ run
. /john /opt/ shadow. txt
⑦查看已破解出的账户列表:
./john -- show /opt/ shadow. txt
⑧使用密码字典文件
>john. pot #清空已破解出的账户列表,以便重新分析
./john --wordlist=./password.lst /opt/shadow.txt #使用指定的字典文件进行破解
5.1、网络端口扫描
NMAP
- 一款强大的网络扫描、安全检测工具
- 官方网站: http://nmap.org/
- CentOS 7.3光盘中安装包nmap-6.40-7.el7.x86_ _64.rpm
安装NMAP 软件包
rpm -qa | grep nmap ;
yum install -y nmap
nmap命令常用的选项和扫描类型
-p: 指定扫描的端口。
-n: 禁用反向DNS解析(以加快扫描速度)。
-sS: TCP的SYN扫描(半开扫描),只向目标发出SYN数据包,如果收到SYN/ACK响应包就认为目标端口正在监听,并立即断开连接;否则认为目标端口并未开放。
-sT:TCP连接扫描,这是完整的TCP扫描方式(默认扫描类型),用来建立-一个TCP连接,如果成功则认为目标端口正在监听服务,否则认为目标端口并未开放。
-sF:TCP的FIN扫描,开放的端口会忽略这种数据包,关闭的端口会回应RST数据包。许多防火墙只对SYN数据包进行简单过滤,而忽略了其他形式的TCP攻击包。这种类型的扫描可间接检测防火墙的健壮性。
-sU:UDP扫描,探测目标主机提供哪些UDP服务,UDP扫描的速度会比较慢。
-sP: ICMP扫描,类似于ping检测,快速判断目标主机是否存活,不做其他扫描。
-P0: 跳过ping检测,这种方式认为所有的目标主机是存活的,当对方不响应ICMP请求时,使用这种方式可以避免因无法ping ;
通而放弃扫描。
netstat -natp #查看正在运行的使用TCP协议的网络状态信息
netstat -naup #查看正在运行的使用UDP协议的网络状态信息
示例:
①、查看本机开放的TCP端口、UDP端口
[root@host ~]# nmap -sT 192.168.153.121
[root@host ~]# nmap -sU 192.168.153.121
②、检测192.168.10.0/24网段有哪些主机提供http服务
[root@host ~]# nmap -p 80 192.168.10.0/24
③、检测192.168.10.0/24网段有哪些存活主机
[root@host ~]# nmap -n -sP 192.168.10/24
六、控制台命令:netstat
[root@host ~]# netstat -natp #查看正在运行的使用TCP协议的网络状态信息
[root@host ~]# netstat -naup #查看正在运行的使用UDP协议的网络状态信息
netstat常用选项
选项 | 解释 |
---|---|
-a | 显示主机中所有活动的网络连接信息(包括监听、非监听状态的服务端口) |
-n | 以数字的形式显示相关的主机地址、端口等信息 |
-t | 查看TCP协议相关的信息 |
-u | 显示UDP协议相关的信息 |
-p | 显示与网络连接相关联的进程号、进程名称信息(该选项需要root权限) |
-r | 显示路由表信息 |
-l | 显示处于监听状态的网络连接及端口信息 |
Linux账号安全控制与PAM认证模块相关推荐
- Linux系统安全与应用(一)——账号安全与控制与PAM认证模块
Linux系统安全与应用(一)--账号安全与控制与PAM认证模块 一.账号安全控制 1.系统账号清理 2.密码安全控制 ①.设置密码有效期 ②.要求用户下次登陆时更改密码 3.命令历史限制 4.终端自 ...
- linux pam 使用例子,PAM认证模块使用实例
PAM认证模块使用实例 概述:本文给出几个通过自定义配置PAM提高网络服务安全性的例子,希望对试图进一步了解PAM的朋友起到抛砖引玉的作用. 源贴:http://blog.163.com/zhzh_l ...
- Linux账号安全控制和sudo提权
Linux账号安全控制和sudo提权 一.账号安全控制 系统账号清理 将非登陆用户的Shell设为/sbin/nologin或者/bin/falsh usermod -s /sbin/nologin ...
- linux修改su的PAM配置文件,linux pam安全认证模块su命令的安全隐患
PAM安全认证 1.su命令的安全隐患 默认情况下,任何用户都允许使用su命令,从而有机会反复尝试其他用户(如root)的登录密码,带来安全风险.为了增强sum命令的使用控制,可以借助PAM认证模块, ...
- 系统安全及应用--账号安全控制
文章目录 前言 一.基本安全措施 1.系统账号清理 2.密码安全控制 3.命令历史限制 4.终端自动注销 二.用户切换与提权 1.切换用户--su 2.在/etc/pam.d/su文件里设置禁止用户使 ...
- Linux--系统安全及应用(一)(账号安全控制)
文章目录 一.账号安全控制 1.基本安全措施 1.1 系统账号清理 1.2 密码安全控制 1.3 命令历史限制 1.4 终端自动注销 2.用户切换与提权 2.1 su 命令--切换用户 2.2 sud ...
- Linux基础——系统安全及应用(su切换用户PAM认证,sudo提权,grub加密,账号密码破解,端口扫描)(十)
系统安全及应用 一. 账号安全控制 1.系统账号清理 2.密码安全控制 3.命令历史.自动销毁 二. 用户切换与提权 2.1 su命令 2.1 sudo命令--提升权限 2.1.1 su命令的缺点 2 ...
- 系统安全及应用(账户安全控制,系统引导和登录,弱口令检测和登录控制,PAM认证,端口扫描,用户切换和提权)
文章目录 系统安全及应用 账户安全控制 基本安全措施 chattr--锁定账号配置文件 密码安全控制( chage) 要求用户下次登录时修改密码 命令历史,自动注销 注销时自动清空命令历史: bash ...
- Linux中pam认证详解,linux中pam认证解析
pam认证机制:简单来说就是linux系统采取的这一种对不同用户以及系统中的不同服务进行的安全认证机制. 认证流程:linux系统首先确定所需认证的服务,然后加载相应的PAM的配置文件(位于/etc/ ...
- Linux服务器安全策略配置-PAM身份验证模块(二)
○ 本文导航 关于PAM PAM身份验证配置文件 PAM配置文件语法格式 PAM模块接口 PAM控制标志 PAM配置方法 PAM身份验证安全配置实例 - 强制使用强密码(用户密码安全配置) - 用户S ...
最新文章
- 实现网站的RSS应用
- tensorflow版本问题导致的错误AttributeError: module ‘tensorflow‘ has no attribute ‘***‘
- spring 获取cookies_springMVC操作cookie和session
- 网站导航颜色停留_做好这几点是建设营销型网站的关键
- Meterpreter重要命令与使用
- html 让表格在右侧显示不出来,css中怎么解决表格边框不显示的问题?
- 使用C#调用P6 Primavera WebService(自建服务IntegrationAPI)
- AB-PLC软件安装以及授权
- 网易云(HTML+CSS)
- 多线程实时数据采集MFC VISUAL C++ /C++
- 盘点五款好用的项目管理软件
- Java 如何保证线程安全,你真的清楚吗
- amazeUI的icon图标库
- simplescalar自动安装
- 海岛旅行回忆总结(不定更)
- 计算机应用提高篇课后答案,计算机应用技能技巧
- 知识科普:5G是什么
- 手机启动不了android,安卓手机开不了机,小编教你如何解决安卓智能手机开不了机问题...
- StopWatch计时器
- MySQL学习(四)——MySQL的登录
热门文章
- c4d流体插件_C4D流体烟雾模拟插件TurbulenceFD C4D v1.0.1437中文版流体
- 中点和中值滤波的区别_滤波器知识总结:详解滤波器分类、技术参数及部分种类介绍...
- Android 开发,你遇上 Emoji 头疼吗?
- 小丸工具箱\FFmpeg踩坑记录
- 如何让微软Onedrive同步其他硬盘的文件
- kali扫描内网ip_kali 局域网嗅探
- ftp服务器管理网页,ftp服务器 web管理工具
- Ember.js 初学指南
- Linux系统版本大全
- 常微分方程 伍卓群 题目