Linux系统安全及应用(1) 账户安全与控制与PAM认证模块

目录

一，账号安全基本措施

1,将非登录用户的shell设为/sbin/nologin

 2，锁定长期不使用的用户

1，使用usermod锁定接受用户

 2，使用passwd锁定解锁用户

3,删除无用账号

3，锁定账号文件passwd,shadow

 4，密码安全控制

5， 命令历史限制

,6，注销时自动清空

7， 终端自动注销

8，限制su命令用户

 9，安全PAM安全认证

PAM认证类型

PAM控制类型

---

一，账号安全基本措施

系统账号清理

• 将非登录用户的shell设为/sbin/nologin
• 锁定长期不使用的账号
• 删除无用的账号
• 锁定账号文件passwd,shadow

1,将非登录用户的shell设为/sbin/nologin

 

 2，锁定长期不使用的用户

1，使用usermod锁定接受用户

 2，使用passwd锁定解锁用户

3,删除无用账号

3，锁定账号文件passwd,shadow

锁定账号文件passwd、shadow（冻结不让创建新用户）

锁定账号文件（或者普通文件）禁止修改、写入、删除

chattr -i /etc/passwd /etc/shadow 

解锁账号文件（或者普通文件）

lsattr  /etc/passwd /etc/shadow 

例如：锁定账户文件，禁止创建新用户

 

 

 例如，能否对文件进行锁定

 4，密码安全控制

• 设置密码有效期
• 要求用户下次登录时修改密码

1，设置密码有效期

 

 把PASS_MAX_DAYS: 密码最长有效期99999改为30时，新增账户密码有效期变为30天

 对于已经拥有的用户

 2，限制用户下次登录就改密码

 

5， 命令历史限制

• 减少记录的命令条数
• 注销时自动清空命令历史

想要减少历史记录的命令条数，我们先进入/etc/profile环境变量文件中进行设置，保存退出后将其设置为生效，命令为：soure /etc/profile,或者直接重启，示例

 

 或者对当前环境变量下，单独用户

,6，注销时自动清空

7， 终端自动注销

限制600秒自动注销

 

 source /etc/profile

8，限制su命令用户

    默认情况下，如何用户都允许使用su命令，从而与机会反复尝试其他用户的登录密码，这样带来了安全风险。为了加强su命令的使用控制，可以借助于pam_wheel认证模块只允许极个别用户使用 su 命令进行切换。实现过程如下：将授权使用 su 命令 的用户添加到 wheel 改/etc/pam.d/su 认证配置以启用 pam_wheel 认证。

• oot→任意用户，不验证密码
•  普通用户→其他用户，验证目标用户的密码

•  借用pam_wheel命令来限制用户su命令进行切换
• 将授权使用su命令的用户添加到whell组

 

 

 如果开启第二行，表示只有root用户和whell组内的用户才可以使用su命令

 

 9，安全PAM安全认证

1,PAM认证一般1遵循的顺序：service（服务）- PAM（配置文件）-pam *.so：

2，PAM认证首先要确定哪一项应用服务，然后加载相应的pam配置文件，/etc/pam.d下。不同的应用程序所对应的PAM模块也是不同的

1， 每一行都是一个独立的认证过程,

2  ，每一行可以区分为三个字段

• 认证类型
• 控制类型
• PAM模块及其参数

PAM认证类型

• 认证管理
• 接受用户名和密码，进而对该用户的密码进行认证
• 账户管理
• 检查账户是否被允许登录系统，账号是否已经过期，账号的登录是否有时间段的限制
• 密码管理
• 主要用来修改用户的密码
• 会话管理
• 主要是提供对会话的管理和记账

PAM控制类型

• required验证失败时仍然继续，但返回Fail
• requisite验证失败则立即结束整个验证过程，返回Fail
• sufficien验证成功则立即返回，不再显示，否则忽略结果并继续
• optional不用于验证，只是显示信息（通常用于session类型）