Linux——系统安全及应用(账号安全、su命令、PAM认证、sudo命令)
Linux——系统安全及应用(账号安全、su命令、PAM认证、sudo命令)
- 一、账号安全控制
-
- 1.1 安全基本措施
-
- 1.1.1 系统账号清理
- 1.1.2 密码安全控制
- 1.1.3 历史限制 && 终端注销
- 1.2 用户切换命令——su
-
- 1.2.1 用途及用法
- 1.2.2 密码验证
- 1.2.3 查看su操作记录
- 1.2.4 限制使用su命令的用户(pam-wheel认证模块)
- 1.2.5 whoami确定当前用户是谁
- 1.3 用户提升执行权限命令——sudo
-
- 1.3.1 用途及用法:
- 1.4 PAM安全认证
-
-
-
- PAM 案例
-
-
一、账号安全控制
1.1 安全基本措施
用户账号,是计算机使用者的凭证或标识,每一个要访问系统资源的人,必须凭借其用户账号才能进入计算机。在Linux系统中,提供了多种机制来确保用户账号的账号的正当、安全使用。
1.1.1 系统账号清理
Linux系统中,除了手动创建的账号,还包括随系统安装进来的大量账号,但是除了超级用户root之外,这些安装系统带进来的账号只是用来维护系统运作、启动或保持服务进程,一般不允许登陆(非登录用户),接下来我为大家介绍一下非登录用户:
----将非登录用户的Shell设为/sbin/nologin(禁止用户登录)-----
usermod -s /sbin/nologin 用户名
------锁定和解锁长期不使用的账号-----
[root@localhost ~]# usermod -L user 锁定用户账号方法一
[root@localhost ~]# passwd -l user 锁定用户账号方法二
[root@localhost ~]# usermod -U user 解锁用户账号方法一
[root@localhost ~]# passwd -u user 解锁用户账号方法二
passwd -S 用户名 //查看用户锁定状态
-----删除无用的账号-----
userdel [-r] 用户名
----锁定账号文件passwd、shadow----
锁定文件并查看状态
chattr +i /etc/passwd /etc/shadow
lsattr /etc/passwd /etc/shadow
解锁文件
chattr -i /etc/passwd /etc/shadow
查找所有终端禁止登录的用户
usermod -s 用户名 ##将用户设为不可登陆
------锁定和解锁长期不使用的账号-----
----锁定账号文件passwd、shadow----
lsatter /etc/passwd ##查看文件锁定状态
扩展:
1.1.2 密码安全控制
在不安全的网络环境中,为了降低密码被猜出或者被暴力破解的风险,用户应该养成更改密码的习惯,避免长期使用一个密码。这个时候管理员就可以在服务器端限制用户密码的最大有效天数:
---------这种方法适合修改已经存在的用户-----------
1.[root@localhost ~]# chage -M 30 user
默认99999天
---------这种适合以后添加新用户-----------
2.[root@localhost ~]# vim /etc/login.defs
PASS_MAX_DAYS 30
---------强制在下次登录时更改密码----------
3.[root@localhost ~]# chage -d 0 zhangsan ##强制在下次登录时更改密码 [root@localhost ~]# cat /etc/shadow | grep zhangsan
##shadow文件中的第三个字段被修改为0
对于已经存在的用户,将密码修改为有效期30天
对于还未存在的账户
验证一下:
1.1.3 历史限制 && 终端注销
shell环境的命令机制为用户提供了极大便利,但另一方面也给用户带来了潜在的风险。只要获得用户的命令历史文件,该用户的命令操作过程将会被一览无余…bash终端环境中,历史命令的记录条数有变量HISTSIZE控制,只要改变/etc/profile文件中的HISTSIZE变量值,就可以影响系统中的所有用户:
- 减少记录的命令条数
- 登录时自动清空命令历史
----------------------------------历史限制---------------------------------------------------------------------
------适用于新用户-----
[root@localhost ~]# vi /etc/profile ## 进入配置文件修改限制命令条数。适合新用户
export HISTSIZE=200 ##修改限制命令为200条,系统默认是1000条profile
[root@localhost ~]# source /etc/profile ## 刷新配置文件,使文件立即生效
------适用于当前用户-----
[root@localhost ~]# export HISTSIZE=200 适用于当前用户
[root@localhost ~]# source /etc/profile
[root@localhost ~]# source /etc/profile 刷新配置文件,使文件立即生效
------登录时自动清空历史命令(永久)-----
[root@localhost ~]# echo"" > ~/.bash_history
------登录时自动清空历史命令(临时)-----
[root@localhost ~]#vim ~/.bash_logout
history -c
clear
------适用于当前用户-----
------登录时自动清空历史命令-----
注销时自动清空历史命令
永久清除
临时清除(重启缓存还在)
- 闲置600秒后自动注销
-------------------------------自动注销------------------------------------
[root@localhost ~]# vi /etc/profile
......
export TMOUT=600 ##设置注销时间为600秒
[root@localhost ~]# source /etc/profile ##重新加载配置文件
1.2 用户切换命令——su
大多数Linux服务器并不建议直接以root用户进行登录。一方面可以大大减小因误操作而带来的破坏,另一方面也降低了特权密码在不安全的网络中被泄露的风险。鉴于这些原因,需要为普通用户提供一种身份切换或者权限提升机制,便于在必要的时候执行管理任务:
1.2.1 用途及用法
- 用途:Substitute User,切换用户
- 格式:su - 目标用户
1.2.2 密码验证
root->任意用户,不验证密码
普通用户->其他用户,验证目标用户的密码
[jerry@localhost ~]$ su - root ##带-选项表示将使用目标用户的登录Shell环境
口令:
[root@localhost ~]# whoami
root
1.2.3 查看su操作记录
安全日志文件:/var/log/secure
1.2.4 限制使用su命令的用户(pam-wheel认证模块)
为了加强su命令的使用控制,可以借助于pam-wheel认证模块,只允许极个别用户使用su命令进行切换。实现过程如下:
将授权使用su命令的用户添加到wheel组,修改/etc/pam.d/su认证配置以启用pam_wheel认证
- 将允许使用su命令的用户加入wheel组
- 启用pam_wheel认证模块
- vim /etc/pam.d/su
把第六行注释去掉保存退出
- 以上两行是默认状态(即开启第一行,注释第二行),这种状态下是允许所有用户间使用su命令进行切换的
- 两行都注释也是运行所有用户都能使用su命令,但root下使用su切换到其他普通用户需要输入密码:
- 如果第–行不注释,则root 使用su切换普通用户就不需要输入密码( pam_ rootok. so模块的主要作用是使uid为0的用户,即root用户能够直接通过认证而不用输入密码。)
- 如果开启第二行,表示只有root用户和wheel1组内的用户才可以使用su命令。
- 如果注释第一行,开启第二行,表示只有whee1组内的用户才能使用su命令,root用户也被禁用su命令。
使用pam_wheel认证之后,没有加到wheel的用户将不能再使用su
将kiro加入到wheel之后,kiro就有了使用su命令的权限
1.2.5 whoami确定当前用户是谁
1.3 用户提升执行权限命令——sudo
通过su命令可以非常方便切换到另一个用户,但前提条件是必须知道用户登录密码。对于生产环境中的Linux服务器,每多一个人知道特权密码,安全风险就多一分。于是就多了一种折中的办法,使用sudo命令提升执行权限,不过需要由管理员预先进行授权, 指定用户使用某些命令:
1.3.1 用途及用法:
- 用途:以其他用户身份(如root)执行授权命令
- 用法:sudo 授权命令
---------visudo单个授权----------
visudo 或者 vim /etc/sudoers
记录格式:
user MACHINE=COMMANDS
可以使用通配符“ * ”号任意值和“ !”号进行取反操作。
%组名代表一整个组
权限生效后,输入密码后5分钟可以不用重新输入密码。
例如:visudo命令下
user kiro=(root)NOPASSWD:/usr/sbin/useradd,PASSWD:/usr/sbin/usermod
##代表 kiro主机里的user用户,可以无密码使用useradd命令,有密码使用usermod
---------/etc/sudoers多个授权----------
Host_Alias MYHOST= localhost 主机名
User_Alias MYUSER = yxp,zhangsan,lisi,%组 需要授权的用户 自动添加用户到组
Cmnd_Alias MYCMD = /sbin/*,/usr/bin/passwd 授权
MYUSER MYHOST = NOPASSWD : MYCMD 授权格式
sudo -l ##查询目前sudo操作
---------查看sudo操作记录----------
需启用Defaults logfile
配置默认日志文件: /var/log/sudo
1.通过visudo单个授权
进入/etc/sudoers添加配置
user用户 使用useradd添加命令
2.通过 vim /etc/sudoers 多个授权
进到pengxw,创建新用户
创建成功,因为已经授权
3.查看sudo操作记录
1.4 PAM安全认证
PAM是linux系统可插拔认证模块。为了加强su命令的使用控制,可以借助使用PAM认证模块,只允许极个别用户使用su命令切换:
PAM及其作用
- PAM(Pluggable Authentication Modules)可插拔式认证模块
- 是一种高效而且灵活便利的用户级别的认证方式
- 也是当前Linux服务器普遍使用的认证方式
- PAM提供了对所有服务进行认证的中央机制,适用于login,远程登陆,su等应用
- 系统管理员通过PAM配置文件来制定不同的应用程序的不同认证策略
PAM认证原理
-
PAM认证一般遵循的顺序: Service (服务) --> PAM (配置文件) --> pam_*.so
-
PAM认证首先要确定哪一项应用服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认模块(位于/lib64/security/下)进行安全认证。
-
用户访问服务器的时候,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证。不同的应用程序所对应的PAM模块也是不同的
-
如果想查看某个程序是否支持PAM认证,可以用ls命令进行查看/etc/pam.d/
ls /etc/pam.d/ | grep su -
PAM的配置文件中的每一行都是一个独立的认证过程,它们按从上往下的顺序依次由PAM模块调用
PAM 案例
- 问题描述
控制用户使用su命令进行切换
- 启用/etc/pam.d/su中的pam_wheel模块
实验步骤
1)添加授权用户user到wheel组
修改/etc/group 或者使用命令usermod -G wheel user 将用户加入到wheel组
2)开启只允许wheel组使用su权限
需要编辑/etc/pam.d/su/ 配置文件,将前方的 # 注释去掉
这样就只有wheel组的成员可以使用su命令了
3)测试
在wheel组的user可以切换到root,普通用户无法切换,提示拒绝权限