用户账号,是计算机使用者的凭证或标识,每一个要访问系统资源的人,必须凭借其用户账号才能进入计算机。在Linux系统中,提供了多种机制来确保用户账号的账号的正当、安全使用。
Linux系统中,除了手动创建的账号,还包括随系统安装进来的大量账号,但是除了超级用户root之外,这些安装系统带进来的账号只是用来维护系统运作、启动或保持服务进程,一般不允许登陆(非登录用户),接下来我为大家介绍一下非登录用户:
----将非登录用户的Shell设为/sbin/nologin(禁止用户登录)-----
usermod -s /sbin/nologin 用户名
------锁定和解锁长期不使用的账号-----
[root@localhost ~]# usermod -L user 锁定用户账号方法一
[root@localhost ~]# passwd -l user 锁定用户账号方法二
[root@localhost ~]# usermod -U user 解锁用户账号方法一
[root@localhost ~]# passwd -u user 解锁用户账号方法二
passwd -S 用户名 //查看用户锁定状态
-----删除无用的账号-----
userdel [-r] 用户名
----锁定账号文件passwd、shadow----
锁定文件并查看状态
chattr +i /etc/passwd /etc/shadow
lsattr /etc/passwd /etc/shadow
解锁文件
chattr -i /etc/passwd /etc/shadow
查找所有终端禁止登录的用户
usermod -s 用户名 ##将用户设为不可登陆
------锁定和解锁长期不使用的账号-----
----锁定账号文件passwd、shadow----
lsatter /etc/passwd ##查看文件锁定状态
扩展:
在不安全的网络环境中,为了降低密码被猜出或者被暴力破解的风险,用户应该养成更改密码的习惯,避免长期使用一个密码。这个时候管理员就可以在服务器端限制用户密码的最大有效天数:
---------这种方法适合修改已经存在的用户-----------
1.[root@localhost ~]# chage -M 30 user
默认99999天
---------这种适合以后添加新用户-----------
2.[root@localhost ~]# vim /etc/login.defs
PASS_MAX_DAYS 30
---------强制在下次登录时更改密码----------
3.[root@localhost ~]# chage -d 0 zhangsan ##强制在下次登录时更改密码 [root@localhost ~]# cat /etc/shadow | grep zhangsan
##shadow文件中的第三个字段被修改为0
对于已经存在的用户,将密码修改为有效期30天
对于还未存在的账户
shell环境的命令机制为用户提供了极大便利,但另一方面也给用户带来了潜在的风险。只要获得用户的命令历史文件,该用户的命令操作过程将会被一览无余…bash终端环境中,历史命令的记录条数有变量HISTSIZE控制,只要改变/etc/profile文件中的HISTSIZE变量值,就可以影响系统中的所有用户:
----------------------------------历史限制---------------------------------------------------------------------
------适用于新用户-----
[root@localhost ~]# vi /etc/profile ## 进入配置文件修改限制命令条数。适合新用户
export HISTSIZE=200 ##修改限制命令为200条,系统默认是1000条profile
[root@localhost ~]# source /etc/profile ## 刷新配置文件,使文件立即生效
------适用于当前用户-----
[root@localhost ~]# export HISTSIZE=200 适用于当前用户
[root@localhost ~]# source /etc/profile
[root@localhost ~]# source /etc/profile 刷新配置文件,使文件立即生效
------登录时自动清空历史命令(永久)-----
[root@localhost ~]# echo"" > ~/.bash_history
------登录时自动清空历史命令(临时)-----
[root@localhost ~]#vim ~/.bash_logout
history -c
clear
------适用于当前用户-----
------登录时自动清空历史命令-----
-------------------------------自动注销------------------------------------
[root@localhost ~]# vi /etc/profile
......
export TMOUT=600 ##设置注销时间为600秒
[root@localhost ~]# source /etc/profile ##重新加载配置文件
大多数Linux服务器并不建议直接以root用户进行登录。一方面可以大大减小因误操作而带来的破坏,另一方面也降低了特权密码在不安全的网络中被泄露的风险。鉴于这些原因,需要为普通用户提供一种身份切换或者权限提升机制,便于在必要的时候执行管理任务:
root->任意用户,不验证密码
普通用户->其他用户,验证目标用户的密码
[jerry@localhost ~]$ su - root ##带-选项表示将使用目标用户的登录Shell环境
口令:
[root@localhost ~]# whoami
root
安全日志文件:/var/log/secure
为了加强su命令的使用控制,可以借助于pam-wheel认证模块,只允许极个别用户使用su命令进行切换。实现过程如下:
将授权使用su命令的用户添加到wheel组,修改/etc/pam.d/su认证配置以启用pam_wheel认证
使用pam_wheel认证之后,没有加到wheel的用户将不能再使用su
将kiro加入到wheel之后,kiro就有了使用su命令的权限
通过su命令可以非常方便切换到另一个用户,但前提条件是必须知道用户登录密码。对于生产环境中的Linux服务器,每多一个人知道特权密码,安全风险就多一分。于是就多了一种折中的办法,使用sudo命令提升执行权限,不过需要由管理员预先进行授权, 指定用户使用某些命令:
---------visudo单个授权----------
visudo 或者 vim /etc/sudoers
记录格式:
user MACHINE=COMMANDS
可以使用通配符“ * ”号任意值和“ !”号进行取反操作。
%组名代表一整个组
权限生效后,输入密码后5分钟可以不用重新输入密码。
例如:visudo命令下
user kiro=(root)NOPASSWD:/usr/sbin/useradd,PASSWD:/usr/sbin/usermod
##代表 kiro主机里的user用户,可以无密码使用useradd命令,有密码使用usermod
---------/etc/sudoers多个授权----------
Host_Alias MYHOST= localhost 主机名
User_Alias MYUSER = yxp,zhangsan,lisi,%组 需要授权的用户 自动添加用户到组
Cmnd_Alias MYCMD = /sbin/*,/usr/bin/passwd 授权
MYUSER MYHOST = NOPASSWD : MYCMD 授权格式
sudo -l ##查询目前sudo操作
---------查看sudo操作记录----------
需启用Defaults logfile
配置默认日志文件: /var/log/sudo
PAM是linux系统可插拔认证模块。为了加强su命令的使用控制,可以借助使用PAM认证模块,只允许极个别用户使用su命令切换:
PAM及其作用
PAM认证原理
PAM认证一般遵循的顺序: Service (服务) --> PAM (配置文件) --> pam_*.so
PAM认证首先要确定哪一项应用服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认模块(位于/lib64/security/下)进行安全认证。
用户访问服务器的时候,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证。不同的应用程序所对应的PAM模块也是不同的
如果想查看某个程序是否支持PAM认证,可以用ls命令进行查看/etc/pam.d/
ls /etc/pam.d/ | grep su
控制用户使用su命令进行切换
实验步骤
1)添加授权用户user到wheel组
修改/etc/group 或者使用命令usermod -G wheel user 将用户加入到wheel组
2)开启只允许wheel组使用su权限
需要编辑/etc/pam.d/su/ 配置文件,将前方的 # 注释去掉
这样就只有wheel组的成员可以使用su命令了
3)测试
在wheel组的user可以切换到root,普通用户无法切换,提示拒绝权限