系统安全及应用/ 账号的锁定删除/ 密码安全控制/ 历史记录/ su切换用户 / PAM认证

  • 系统账号清理
    • 将非登录用户的shell设为/sbin/nologin
    • 锁定不常使用的账号
    • 删除无用账号
    • 锁定账号文件passwd、shadow
  • 密码安全控制
    • 设置密码有效期,针对**已存在的用户**
    • 设置密码有效期,针对**新用户**
    • 强制要求用户下次登陆时修改密码
  • 命令历史限制
    • 减少记录的命令条数
    • 登陆时自动清空历史命令
    • 终端自动注销
  • su切换用户
    • 限制使用su命令的用户
      • **启用pam_wheel认证模块**(可插拔式认证模块)
    • PAM认证流程
    • 查看su操作记录

系统账号清理

将非登录用户的shell设为/sbin/nologin

在这里插入图片描述

锁定不常使用的账号

系统安全及应用/ 账号的锁定删除/ 密码安全控制/ 历史记录/ su切换用户 / PAM认证_第1张图片

删除无用账号

在这里插入图片描述

锁定账号文件passwd、shadow

锁定之后无法修改用户和密码
系统安全及应用/ 账号的锁定删除/ 密码安全控制/ 历史记录/ su切换用户 / PAM认证_第2张图片

密码安全控制

设置密码有效期,针对已存在的用户

30天
在这里插入图片描述

在这里插入图片描述

设置密码有效期,针对新用户

修改pass max days
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

强制要求用户下次登陆时修改密码

在这里插入图片描述

无法修改成和原本相似的密码

命令历史限制

减小安全风险

减少记录的命令条数

进入系统环境信息文件
在这里插入图片描述
修改histsize
在这里插入图片描述

登陆时自动清空历史命令

系统安全及应用/ 账号的锁定删除/ 密码安全控制/ 历史记录/ su切换用户 / PAM认证_第3张图片

https://segmentfault.com/q/1010000000133177
在这里插入图片描述

系统安全及应用/ 账号的锁定删除/ 密码安全控制/ 历史记录/ su切换用户 / PAM认证_第4张图片
init6
在这里插入图片描述

终端自动注销

闲置十分钟自动注销
在这里插入图片描述
行尾键入export TMOUT=600
在这里插入图片描述
修改的环境变量立即生效
在这里插入图片描述

su切换用户

在这里插入图片描述

  • root切换到任意用户无需密码
  • 普通用户切换到其他用户需要验证目标用户的密码

限制使用su命令的用户

  • 将允许使用su命令的用户加入wheel组
    在这里插入图片描述
  • 取消注释
    去掉“#”号
    系统安全及应用/ 账号的锁定删除/ 密码安全控制/ 历史记录/ su切换用户 / PAM认证_第5张图片

在这里插入图片描述

在这里插入图片描述在这里插入图片描述
在这里插入图片描述

  • 未加入wheel组的用户ccc无法通过密码切换到root或其他用户
    在这里插入图片描述

启用pam_wheel认证模块(可插拔式认证模块)

  • 启用认证后,未加入wheel组内的用户无法su
  • PAM认证一般遵循这样的顺序:Service(服务)→PAM(配置文件)→pam_*.so
  • PAM认证首先要确定那一项服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib64/security下)进行安全认证
  • 用户访问服务器的时候,服务器的某一个服务程序吧用户的请求发送到PAM模块进行认证。不同的应用程序所对应的PAM模块也是不同的。如果想要差个某个程序是否支持PAM认证,可以用ls 命令查看/etc/pam.d
    系统安全及应用/ 账号的锁定删除/ 密码安全控制/ 历史记录/ su切换用户 / PAM认证_第6张图片
  • 如查看su是否支持PAM模块认证
    ls /etc/pam.d | grep su
  • 查看su 的PAM配置文件
    cat /etc/pam.d/su
    系统安全及应用/ 账号的锁定删除/ 密码安全控制/ 历史记录/ su切换用户 / PAM认证_第7张图片

每一行都是一个独立的认证过程
每一行都可以区分为三个字段(认证类型、控制类型、PAM模块及参数)

PAM认证流程

系统安全及应用/ 账号的锁定删除/ 密码安全控制/ 历史记录/ su切换用户 / PAM认证_第8张图片

查看su操作记录

安全日志文件: /var/log/secure
在这里插入图片描述
在这里插入图片描述

你可能感兴趣的:(系统安全及应用/ 账号的锁定删除/ 密码安全控制/ 历史记录/ su切换用户 / PAM认证)