小梦带你看——账号安全控制与sudo授权命令

一、账号安全控制

账号安全基本措施

■系统账号清理

●将非登录用户的Shell设为/sbin/nologin
usermod -S /sbin/nologin用户名

●锁定长期不使用的账号
1、usermod -L 用户名  
2、passwd -l 用户名 
3、passwd -S 用户名
4、usermod -U 用户名        #解锁

●清空一个账号密码
passwd -d 用户名            清空账户密码

●删除无用的账号（把宿主目录也会删除）
userdel [-r] 用户名

●锁定账号文件passwd、shadow
chattr +i /etc/passwd /etc/shadow                 锁定文件并查看状态
Isattr /etc/passwd /etc/shadow
chattr -i /etc/passwd /etc/shadow.d                解锁文件

●chattr +i /etc/passwd /etc/shadow 锁定文件并查看状态
Isattr /etc/passwd /etc/shadow

●chattr -i passwd shadow 解锁文件

由于/etc/passwd和/etc/shadow都存放的用户账号信息，所以两个缺一不可，少一个都无法创建用户与更改密码

■密码安全控制

●设置密码有效期
●要求用户下次登录时修改密码

vim /etc/login.defs            修改密码配置文件适用于       新建用户
PASS_MAX_DAYS  30
chage -M 日期 用户               设置用户密码有效期
chage -E xxxx-xx-xx             设置过期日期
chage -d 0 用户                  强制在下次登录时更改密码,因为在执行此命令后shadow文件中的第三个字段被修改为0    

[root@localhost ~]# vi /etc/login.defs
PASS_MAX_DAYS 30（在/etc/login.defs中添加此命令）

[root@localhost ~]# chage -M 30 lisi （适用于已有用户）
[root@localhost ~]# cat /etc/shadow | grep lisi

其中：
chage -M设置已有用户密码有效天数
chage -E 设置密码的有效期（年月日）

[root@localhost ~]# chage -d 0 zhangsan

[root@localhost ~]# cat /etc/shadow | grep zhangsan #查看/etc/shadow用户zhangsan的内容

修改zhangsan的用户密码的有效期

●vi /etc/login.defs 设置新建用户密码的有效期
默认最大的密码有效天数时99999天，把99999有效天数修改掉，就完成了。

■命令历史限制

●减少记录的命令条数
/etc/profile这个文件是系统全局变量配置文件，可以通过重启系统或者执行source /etc/profile命令使文件被读取重载。

 history -c            #history clean  清除历史命令

vim /etc/profile
export HISTSIZE=200 # 在此文件中，添加此命令，则历史命令会保留200条
在添加完此命令后，需要重新刷新一下系统，用 . /etc/profile 或者 source /etc/profile来执行
[root@localhost ~]# source /etc/profile

●登陆时自动清空历史命令
~/.bashrc文件中的命令会在每次打开新的bash shell时（也包括登录系统）被执行
[roolocalhosot ~]# vim ~/.bash_logout（或/etc/local） #退出系统时执行的命令
history -c #history clean 清除历史命令

 echo " " >~/.bash_history（存储历史命令的文件）

进入vim ~/.bashrc

在配置完成后，我们重启虚拟机，再次查看历史命令，只有空字符和重启后的history的命令了

■终端自动注销

闲置600秒后自动注销，与上方减少历史条数类似

vim /etc/profile        #编辑全局变量配置文件
export TMOUT=600        #输出timeout=600
source /etc/profle      #刷新

二、系统引导和登录控制

2.1 使用su命令切换用户

●用途及用法
　用途: Substitute User,切换用户
　格式：su-目标用户
●密码验证
　root→任意用户，不验证密码
　普通用户→其他用户，验证目标用户的密码
　[meng@localhost ~]$ su -root 　　　　 #带-选项表示将使用目标；用户的登录Shell环境

普通用户进入root用户需要密码

●限制使用su命令的用户
　1、将允许使用su命令的用户加入wheel组
　2、启用pam_ wheel认证模块
●su命令的安全隐患
　1、默认情况下，任何用户都允许使用su命令，有机会反复尝试其他用户(如root) 的登录密码，带来安全风险
　2、为了加强su命令的使用控制，可借助于PAM认证模块,只允许极个别用户使用su命令进行切换
●PAM(Pluggable Authentication Modules)可插拔式认证模块
　1、是一种高效而且灵活便利的用户级别的认证方式
　2、也是当前Linux服务器普遍使用的认证方式

【1】以上两行是默认状态（即开启第一行，注释第二行），这种状态下是允许所有用户间使用su命令进行切换的。

【2】两行都注释也是允许所有用户都能使用su命令，但root下使用su切换到其他普通用户需要输入密码；如果第一行不注释，则root使用su切换普通用户就不需要输入密码
（pam_rootok.so模块的主要作用是使uid为0的用户，即 root用户能够直接通过认证而不用输入密码)

【3】如果开启第二行，表示只有root用户和wheel组内的用户才可以使用su命令。

【4】如果注释第一行，开启第二行，表示只有wheel组内的用户才能使用su命令，root用户也被禁用su命令。
　例：
1、首先，我们创建两个新用户并给与他们密码让他们可以使用，然后我们发现，root用户可以随意切换至任何用户，而其他用户切换至root用户则需要输入密码，正确即可切换，将admin1用户加入wheel组中。

2、我们进入编辑/etc/pam.d/su文件中找到下图匹配行，将auth前的注释#号删除即可启用该字段

3、这下我们再来试一下用户与root用户之间来回切换，发现，加入wheel组中的zhangsan、lisi用户不需要密码后依旧可以切换至root用户，而wangwu切换至root，密码输入正确也不能登录。

■查看su操作记录
　●安全日志文件: /var/log/secure （需要提前设置才能查看）

cat /var/log/secure

2.2 Linux中的PAM安全认证

●Linux-PAM，是linux可插拔认 证模块，是一套可定制、可动态加载的共享库，使本地系统管理员可以随意选择程序的认证方式。
●PAM使用/etc/pam.d/下的配置文件，来管理对程序的认证方式。应用程序调用相应的PAM配置文件，从而调用本地的认证模块，模块放在/lib64/security下，以加载动态库的形式进行认证。比如使用su命令时，系统会提示输入root用户的密码，这就是su命令通过调用PAM模块实现的。

三、PAM认证原理：

1.PAM认证一般遵循的顺序: Service (服务) --> PAM (配置文件) --> pam_ *.so(认证模块);
2. PAM认证首先要确定哪一项应用服务，然后加载相应的PAM的配置文件(位于/etc/pam.d下)， 最后调用认证模块(位于/lib64/security/下)进行安全认证。
3.用户访问服务器的时候，服务器的某一个服务程序把用户的请求发送到PAM模块进行认证。不同的应用程序所对应的PAM模块也是不同的。
如果想查看某个程序是否支持PAM认证，可以用ls命令进行查看/etc/pam.d/。
PAM的配置文件中的每一行都是一个独立的认证过程，它们按从上往下的顺序依次由PAM模块调用

【1】第一列代表PAM认证模块类型
auth: 对用户身份进行识别，如提示输入密码，判断是否为root。
account: 对账号各项属性进行检查，如是否允许登录系统，帐号是否已经过期，是否达到最大用户数等。
password: 使用用户信息来更新数据，如修改用户密码。
session:定义登录前以及退出后所要进行的会话操作管理，如登录连接信息，用户数据的打开和关闭，挂载文件系统。
【2】第二列代表PAM控制标记
required:表示需要返回一个成功值，如果返回失败，不会立刻将失败结果返回，而是继续进行同类型的下一-验证，所有此类型的模块都执行完成后，再返回失败。
requisite:与required类似，但如果此模块返回失败，则立刻返回失败并表示此类型失败。
sufficient: 如果此模块返回成功，则直接向程序返回成功，表示此类成功，如果失败，也不影响这类型的返回值。
optional: 不进行成功与否的返回，一 般不用于验证，只是显示信息(通常用于session类型)。
include:表示在验证过程中调用其他的PAM配置文件。比如很多应用通过完整调用/etc/pam.d/system-auth(主要负责用户登录
系统的认证工作)来实现认证而不需要重新逐–去写配置项。
【3】第三列代表PAM模块，默认是在/lib64/security/目录下，如果不在此默认路径下，要填写绝对路径。
同一个模块，可以出现在不同的模块类型中，它在不同的类型中所执行的操作都不相同，这是由于每个模块针对不同的模块类型
编制了不同的执行函数。
【4】第四列代表PAM模块的参数，这个需要根据所使用的模块来添加。
传递给模块的参数。参数可以有多个，之间用空格分隔开

四、使用sudo机制提权

●sudo是一个授权命令
用途：以其他用户身份（如root）执行授权的命令

4.1配置sudo授权

●启动sudo操作日志

visudo
vim /etc/sudoers(此文件的默认权限为 440，保存退出时必须执行“:wq!”命令来强制操作）

●语法格式
用户 主机名=命令程序列表
用户 主机名=(用户) 命令程序列表
1、用户:直接授权指定的用户名，或采用“:组名"的形式(授权一个组的所有用户)。
2、主机名:使用此规则的主机名。没配置过主机名时可用localhost，有配过主机名则用实际的主机名，ALL则代表所有主机
3、(用户):用户能够以何种身份来执行命令。此项可省略，缺省时以root用户的身份来运行命令
4、命令程序列表:允许授权的用户通过sudo方式执行的特权命令，需填写命令程序的完整路径，多个命令之间以逗号“，"进行分隔。ALL则代表系统中的所有命令。

admin ALL=/sbin/ifconfig      #说明admin在所有主机上拥有ifconfig权限
admin1 localhost=/sbin/*,!/sbin/reboot,!/sbin/poweroff	  #通配符“*”表示所有、取反符号“!”表示排除   #说明admin1拥有除了重启和关机的所有权限
%wheel ALL=NOPASSWD: ALL	  #表示wheel组成员无需验证密码即可使用sudo执行任何命令
admin2 ALL=(root)NOPASSWD: /bin/kill, /usr/bin/killall    #说明admin2用户不需要输入密码即可执行kill和killall命令

例子：
首先查询主机名称：hostname，然后查询命令ifconfig绝对路径/sbin/ifconfig，然后进入配置sudo授权，大G跳到最后一行，输入admin hellolee=/sbin/ifconfig，接下来请看图中注释。

4.2 别名创建

用户别名 User_Alias
主机别名 Host_Alias
命令别名 Cmnd_Alias

User_ Alias USERS=Tom, Jerry, Mike   用户的别名users包括：Tom, Jerry, Mike
Host_ Alias HOSTS=localhost, bogon   主机别名hosts包括：localhost，bogon 
Cmnd_ Al ias CMNDS=/sbin/ifconfig,/usr/sbin/useradd,/usr/sbin/userdel
USERS HOSTS=CMNDS44                  相当于：用户组   主机组  =  命令程序列表

1、首先我们设置sudo授权,我们进入之后可以看到，visudo内原本就有别名格式，我们直接复制粘贴拿过来用就行了

2、将要设置排除重启和关机的命令，来复制会话中which查询一下完整路径

3、这边再在visudo中插入，具体描述看下图

4、验证，设置成功

五、开关机安全控制

5.1 调整BIOS引导设置

●将第一引导设备设为当前系统所在硬盘
●禁止从其他设备(光盘、U盘、网络)引导系统
●将安全级别设为setup，并设置管理员密码

5.2 GRUB限制

●使用grub2-mkpasswd-pbkdf2生成密钥
●修改/etc/grub.d/00_ header文件中，添加密码记录
●生成新的grub.cfg配置文件

限制更改GRUB引导参数
1、通常情况下在系统开机进入GRUB菜单时，按e键可以查看并修改GRUB引导参数，这对服务器是一个极大的威胁。可以为GRUB菜单设置一个密码，只有提供正确的密码才被允许修改引导参数。

2、可以为 GRUB 菜单设置一个密码，只有提供正确的密码才被允许修改引导参数。

grub2 -mkpasswd-pbkdf2                                    #根据提示设置GRUB菜单的密码
PBKDF2 hash of your password is grub. pbkdf 2.....#省略部分内容为经过加密生成的密码字符串

cp /boot/grub2/grub.cfg /boot/ grub2/grub. cfg. bak
cp /etc/grub.d/00_ header /etc/grub.d/00_ header .bak

vim /etc/grub.d/00_ header
cat << EOF
set superusers="root"                              #设置用户名为root
password_ pbkdf2 root grub. pbkd2.....   #设置密码，省略部分内容为经过加密生成的密码字符串
EOF

grub2-mkconfig -o /boot/grub2/grub.cfg    #生成新的 grub.cfg 文件
重启系统进入GRUB菜单时，按e键将需要输入账号密码才能修改引导参数。

具体过程如下：
1、为grub配置文件生成一个根据算法加密的密码字符串，根据提示设置grub菜单密码

2、编辑/etc/grub.d/00_header文件

3、找到GRUB配置文件，先进行一个备份，防止出现问题，然后再重新生成一个新的grub菜单，重新虚拟机

4、这时再重启或开机按e也无法进入查看修改grub引导参数，需要输入用户与密码，对我们的服务器形成一个基本的保护

六、终端登录安全控制

■限制root只在安全终端登录

●禁止 root 用户登录
在 Linux 系统中，login 程序会读取/etc/securetty 文件，以决定允许 root 用户从哪些终端（安全终端）登录系统。
安全终端配置: /etc/securetty

禁正root用户从终端ty5、tty6登录
[root@localhost ~]# vim  /etc/securetty
.......
#tty5               想要不让在哪个终端登陆就在该终端前加注释#
#tty6

■禁止普通用户登录

login 程序会检查/etc/nologin 文件是否存在，如果存在，则拒绝普通用户登录系统（root 用户不受限制）。
●建立/etc/nologin文件
●删除nologin文件或重启后即恢复正常

[root@localhost ~]# touch /etc/nologin      #禁止普通用户登录
[root@localhost ~]# rm -rf /etc/nologin      #取消上述登录限制