系统安全及应用
系统账号清理
将非登录用户的shell设为/sbin/nologin
usermod –s /sbin/nologin 用户名
锁定长期不使用的账号
usermod –L 用户名
passwd –l 用户名
删除无用的账号
usermod –r 用户名
锁定账号文件passwd(用户信息)、shadow(密码信息)
chattr +i /etc/passwd /etc/shadow ##锁定文件
lsattr /etc/passwd /etc/shadow ##查看文件状态
chattr –i /etc/passwd /etc/shadow ##解锁文件****
举例:
密码安全控制
设置密码规则:
1. 设置密码有效期
2. 要求用户下次登录时修改密码
对新用户设置密码有效期:
修改/etc/login.defs文件
查看/etc/login.defs文件
举例:
修改/etc/login.defs文件,将密码最大有效期修改为30天
对现有用户设置密码有效期
命令格式:
chage [选项] 用户名
选项
| 选项 | 说明 |
|---|---|
| -m | 密码可更改的最小天数。为0时代表任何时候都可以更改密码 |
| -M | 密码保持有效的最大天数 |
| -W | 用户密码到期前,提前收到警告信息的天数 |
| -E | 帐号到期的日期。过了这天,此帐号将不可用。 |
| -d | 设置”最后一次修改密码的日期“。设置为 0 有特殊意思,表示用户应该在下次登录系统时更改密码 |
| -i | 停滞时期。允许密码过期后多少天内仍能使用,如果一个密码已过期这些天,那么此帐号将不可用 |
| -l | 例出当前的设置 |
举例:
强制要求用户下次登录时必须修改密码
命令格式
chage –d 0 用户名
命令历史限制
- 减少记录的命令条数
- 登录时自动清空命令历史
- 系统默认保存1000条历史命令记录
搜索历史记录命令
history 上下键
history –c 命令只能临时清除记录(文件还保存在.bash_history)
命令:
export HISTSIZE= #设置历史记录数量上限(退出登录后失效)
永久修改历史命令条数,编辑/etc/profile文件,设置命令记录为200
echo ‘’> ~/.bash_history
将空文件定向输出到存放历史命令文件,覆盖此文件达到清空的目的
/etc/profile
系统环境变量配置文件(全局有效) 环境变量配置文件 PATH HISTSIZE
开机时,用户登录会自动加载(只加载一次)用source手动加载
/etc/bashrc
全局有效,用户在切换shell环境是也会自动加载此文件中的配置
只针对当前用户有效
~/.bash_profile
当前用户开机后首次登录系统是会执行一次这个命令
~/.bashrc
当前用户每次登录或切换shell环境时都会执行一次这个命令
修改之后更新此文件,立即生效
source /etc/profile ./etc/profile
终端自动注销
闲置600秒后自动注销
export TMOUT = #设置登录后无操作退出登录超时时间
编辑/etc/profile 文件,设置闲置600秒后自动注销。
用户切换——su命令
用途及用法
用途:switch user,命令可以切换用户身份,并且以指定用户的身份执行命令
命令:su – 目标用户
密码验证
root切换任意用户。不验证密码
普通用户切换其他用户 验证目标用户的密码
举例:
注意:su 切换新用户后,使用 exit 退回至旧的用户身份
普通用户切换到其他用户,需要验证目标用户的密码
如何限制使用su命令的用户:
1. 将允许使用su命令的用户加入wheel组
2. 启用pam_wheel认证模块
查看/etc/pam.d/su文件
1.以上两行现在是默认状态(即开启第二行,注释第六行),这种状态下是允许所有用户间使用su命令进行切换的。
2.两行都注释是允许所有用户都能使用su命令,但root使用su切换到其他普通用户需要输入密码;如果第一行不注释,则root使用su切换普通用户就不需要输入密码(pam rootok. so模块的主要作用是使uid为0的用户,即 root用户能够直接通过认证而不用输入密码)。
3.如果开启第六行,表示只有root用户和wheel组内的用户才可以使用su命令。
4.如果注释第二行,开启第六行,表示只有wheel组内的用户才能使用su命令,root用户也被禁用su命令。
限制使用用户的过程:
#修改pam认证文件,取消注释
Vim /etc/pam.d/su
6 auth required pam_wheel.so use_uid
#把允许使用su切换的用户加入wheel组中,使用gpassd/usermod命令
gpasswd –a 用户名 wheel
PAM安全认证
su 命令的安全隐患
1.默认情况下,任何用户都允许使用su命令,有机会反复尝试其他用户(如root) 的登录码,带来安全风险
2.为了加强su命令的使用控制,可借助于PAM认证模块,只允许极个别用户使用su命令进行切换
PAM(Pluggable Authentication Modules) 可插拔式认证模块
1.是一种高效而且灵活便利的用户级别的认证方式
2.也是当前Linux服务器普遍使用的认证方式
PAM认证原理
1.一般遵循的顺序
Service (服务) →PAM (配置文件) →pam_*.so
2.首先要确定哪一项应用服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib64/security下)进行安全认证
3.用户访问服务器时,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证
4.不同的应用程序所对应的PAM模块是不同的
如果想查看某个程序是否支持PAM认证,可以用ls命令进行查看/etc/pam.d
示例:查看su是否支持PAM模块认证
ls /etc/pam.d | grep su
查看su的PAM配置文件:/etc/pam.d/su
每一行都是一个独立的认证过程,它们按从上往下的顺序依次由PAM模块调用
每一行可以区分三个字段:
认证模块类型
控制类型
PAM模块及其参数
第一列代表PAM认证模块类型
auth:对用户身份进行识别,如提示输入登录码,判断是否为root。
account:对账号各项属性进行检查,如是否允许登录系统,帐号是否已经过期,是否达到最大用户数等。
password:使用用户信息来更新数据,如修改用户登录码。
session:定义登录前以及退出后所要进行的会话操作管理,如登录连接信息,用户数据的打开和关闭,挂载文件系统。
第二列代表PAM控制标记
required:表示需要返回一个成功值,如果返回失败,不会立刻将失败结果返回,而是继续进行同类型的下一验证,所有此类型的模块都执行完成后,再返回失败。
requisite:与required类似,但如果此模块返回失败,则立刻返回失败并表示此类型失败。
sufficient:如果此模块返回成功,则直接向程序返回成功,表示此类成功,如果失败,也不影响这类型的返回值。
optional:不进行成功与否的返回,一般不用于验证,只是显示信息(通常用于session 类型)。
include:表示在验证过程中调用其他的PAM配置文件。比如很多应用通过完整调用/etc/pam. d/system- auth (主要负责用户登录系统的认证工作)来实现认证而不需要重新逐一去写配置项。
第三列代表PAM模块
默认是在/lib64/security/目录下,如果不在此默认路径下,要填写绝对路径。同一个模块,可以出现在不同的模块类型中,它在不同的类型中所执行的操作都不相同,这是由于每个模块针对不同的模块类型编制了不同的执行函数。
第四列代表PAM模块的参数
根据所使用的模块来添加,传递给模块的参数。参数可以有多个,它们之间用空格分隔开
PAM安全认证流程
控制类型也称做Control Flags,用于PAM验证类型的返回结果
required验证失败时仍然继续,但返回Fail
requisite验证失败则立即结束整个验证过程,返回Fail
sufficient验证成功则立即返回,不再继续,否则忽略结果并继续
optional不用于验证,只显示信息(通常用于session类型)
