Linux系统安全及应用

一、账号安全

1、系统账号清理

将非登录用户的shell设为/sbin/nologin     
锁定长期不使用的账号                   
删除无用的账号         
锁定账号文件        

 

1.1将用户的shell设为/sbin/nologin 

 1.2锁定长期不使用的账号

usermod命令

 passwd命令

 

 1.3删除无用账号

 1.4锁定账号文件passwd、shadow

2.密码安全控制

• 设置密码有效期
• 要求用户下次登录修改密码
  可以通过chage -M [指定天数] [目标用户]（适用于已有用户）
  也可以通过vi /etc/login.defs进去登录文本文件查询修改（适用于新建用户）

 

 

 强制在下次登录时更改密码：chage -d 0 zhangsan

3.历史命令限制

3.1减少记录的命令条数

想要减少历史记录的命令条数，我们可以先进入/etc/profile环境变量配置文件中进行设置，保存退出后将其设置为生效，命令为：source /etc/profile或直接重启

history查看历史命令

进入到/etc/profile配置文件

vim /etc/profile

source使更改的配置文件生效，并history查看历史命令，可以看到历史命令只保留了10条

 3.2注销时自动清空历史命令

 4.终端自动注销

闲置600秒后自动注销

 

 二、限制su命令用户

默认情况下，任何用户都允许使用su命令，从而有机会反复尝试其他用户的登陆密码，这样带来了安全风险。为了加强su命令的使用控制，可以借助于pam_wheel认证模块，只允许个别用户使用su命令进行切换。
可以在/etc/pam.d/su文件里设置禁止用户使用su命令

 2#auth sufficient pam_rootok.so

6#auth required pam_wheel.so use_uid

 1.以上两行是默认状态(即开启第一行，注释第二行)，这种状态下是允许所有用户间使用su命令进行切换的。
2.两行都注释也是运行所有用户都能使用su命令，但root’下使用su切换到其他普通用户需要输入密码;如果第一行不注释，则root使用su切换普通用户就不需要输入密码(pam rootok. so模块的主要作用是使uid为0的用户，即root用户能够直接通过认证而不用输入密码。)
3.如果开启第二行，表示只有root用户和wheel组内的用户才可以使用su命令
4.如果注释第一行，开启第二行，表示只有whee1组内的用户才能使用su命令，root用户也被禁用su命令。

三、PAM安全认证

PAM是Linux可插拔认证模块，是一套可定制、可动态加载的共享库，使本地系统管理员可以随意选择程序的认证方式，是一种高效而且灵活便利的用户级别的认证方式，也是当前Linux服务器普遍使用的认证方式。
PAM认证原理

PAM认证一般遵循的顺序：Service（服务）–PAM（配置文件）–pam_*.so
PAM认证首先要确定哪一项应用服务，然后加载响应的PAM的配置文件（位于/etc/pam.d下），最后调用认证模块（位于/lib64/security/下）进行安全认证
用户访问服务器的时候，服务器的某一个服务程序吧用户的请求发送到PAM模块进行认证，不同的应用程序所对应的PAM模块也是不同的。
如果想查看某个程序是否支持PAM认证，可以用ls命令进行查看/etc/pam.d/
PAM的配置文件中每一行都是一个独立的认证过程，它们按从上往下的顺序依次由PAM模块调用

 
第一列代表PAM认证模块的类型
auth：对用户身份仅从识别
account：对账号各项属性进行检查
password：使用用户信息来更新数据
session：定义登陆前以及推出后所要进行的会话操作管理
第二列代表PAM控制标记
required:表示需要返回一个成功值，如果返回失败，不会立刻将失败结果返回，而是继续进行同类型的下一验证，所有此类型的模块都执行完成后，再返回失败。
requisite:与required类似，但如果此模块返回失败，则立刻返回失败并表示此类型失败。
sufficient:如果此模块返回成功，则直接向程序返回成功，表示此类成功，如果失败，也不影响这类型的返回值。
optional: 不进行成功与否的返回，一般不用于验证，只是显示信息(通常用于session类型),
include:表示在验证过程中调用其他的PAM配置文件。比如很多应用通过完整调用/etc/pam.d/system-auth(主要负责用户登录系统的认证工作)来实现认证而不需要重新逐一去写配置项。
第三列代表PAM模块
默认是在/lib64/security/目录下，如果不在此默认路径下，要填写绝对路径。同一个模块，可以出现在不同的模块类型中，它在不同的类型中所执行的操作都不相同，这是由于每个模块针对不同的模块类型编制了不同的执行函数。
第四列代表PAM模块的参数
这个需要根据所使用的模块来添加。传递给模块的参数。参数可以有多个，之间用空格分隔开
每一行都是一个独立的认证过程
每一行可以区分为三个字段：认证类型、控制类型、PAM模块及其参数
PAM 认证类型包括四种：
认证管理（authentication management）：接受用户名和密码，进而对该用户的密码进行认证；
帐户管理（account management）：检查帐户是否被允许登录系统，帐号是否已经过期，帐号的登录是否有时间段的限制等；
密码管理（password management）：主要是用来修改用户的密码；
会话管理（session management）：主要是提供对会话的管理和记账。 控制类型也可以称做 Control Flags，用于 PAM 验证类型的返回结果。
1.required验证失败时仍然继续，但返回 Fail
2.requisite验证失败则立即结束整个验证过程，返回 Fail
3.sufficient验证成功则立即返回，不再继续，否则忽略结果并继续
4.optional不用于验证，只是显示信息（通常用于 session 类型）

四、sudo机制提升权限

sudo机制介绍
通过su命令可以非常方便地切换为另一个用户，但前提条件使必须知道目标用户地登录密码。但是每多一个人知道特权密码，其安全风险也就增加一分。所以就会使用sudo命令来提升用户地执行权限，需要由管理员预先进行授权，指定允许哪些用户以超级用户（或其他普通用户）的身份来执行哪些命令。
 

sudo的配置文件/etc/sudoers文件默认权限为440，需使用专门的visudo工具进行编辑。
也可以用vi进行编辑，但保存时必须执行":w!"命令来强制操作，否则系统将提示为只读文件而拒绝保存。

语法格式
用户 主机名=命令程序列表
用户 主机名=(用户) 命令程序列表

1、用户：直接授权指定的用户名，或采用“%组名”的形式（授权一个组的所有用户）。
2、主机名：使用此规则的主机名。没配置过主机名时可用localhost，有配过主机名则用实际的主机名，ALL则代表所有主机
3、(用户)：用户能够以何种身份来执行命令。此项可省略，缺省时以root用户的身份来运行命令
4、命令程序列表：允许授权的用户通过sudo方式执行的特权命令，需填写命令程序的完整路径，多个命令之间以逗号“,”进行分隔。
ALL则代表系统中的所有命令

sudo [选项] 命令
-l：列出在主机上可用的和被禁止的命令；一般配置好/etc/sudoers后，要用这个命令来查看和测试是不是配置正确的；
-v：验证用户的时间戳；如果用户运行sudo后，输入用户的密码后，在短时间内可以不输入口令来执行sudo操作，用-v可以跟踪最新的时间戳
-u 指定以以某个用户执行特定操作
-k 删除时间戳，下一个sudo 命令要求用求提供密码