Linux系统安全及应用(1) 账户安全与控制与PAM认证模块

目录

一,账号安全基本措施

1,将非登录用户的shell设为/sbin/nologin

 2,锁定长期不使用的用户

1,使用usermod锁定接受用户

 2,使用passwd锁定解锁用户

3,删除无用账号

3,锁定账号文件passwd,shadow

 4,密码安全控制

5, 命令历史限制

,6,注销时自动清空

7, 终端自动注销

8,限制su命令用户

 9,安全PAM安全认证

PAM认证类型

PAM控制类型


一,账号安全基本措施

系统账号清理

  • 将非登录用户的shell设为/sbin/nologin
  • 锁定长期不使用的账号
  • 删除无用的账号
  • 锁定账号文件passwd,shadow

1,将非登录用户的shell设为/sbin/nologin

 Linux系统安全及应用(1) 账户安全与控制与PAM认证模块_第1张图片

 2,锁定长期不使用的用户

1,使用usermod锁定接受用户

Linux系统安全及应用(1) 账户安全与控制与PAM认证模块_第2张图片

 2,使用passwd锁定解锁用户

Linux系统安全及应用(1) 账户安全与控制与PAM认证模块_第3张图片

3,删除无用账号

3,锁定账号文件passwd,shadow

锁定账号文件passwd、shadow(冻结不让创建新用户)

锁定账号文件(或者普通文件)禁止修改、写入、删除

chattr -i /etc/passwd /etc/shadow 

解锁账号文件(或者普通文件)

lsattr  /etc/passwd /etc/shadow 

例如:锁定账户文件,禁止创建新用户

 Linux系统安全及应用(1) 账户安全与控制与PAM认证模块_第4张图片

 Linux系统安全及应用(1) 账户安全与控制与PAM认证模块_第5张图片

 例如,能否对文件进行锁定Linux系统安全及应用(1) 账户安全与控制与PAM认证模块_第6张图片

 4,密码安全控制

  • 设置密码有效期
  • 要求用户下次登录时修改密码

1,设置密码有效期

Linux系统安全及应用(1) 账户安全与控制与PAM认证模块_第7张图片

 Linux系统安全及应用(1) 账户安全与控制与PAM认证模块_第8张图片

 把PASS_MAX_DAYS: 密码最长有效期99999改为30时,新增账户密码有效期变为30天Linux系统安全及应用(1) 账户安全与控制与PAM认证模块_第9张图片

 对于已经拥有的用户

Linux系统安全及应用(1) 账户安全与控制与PAM认证模块_第10张图片

 2,限制用户下次登录就改密码

Linux系统安全及应用(1) 账户安全与控制与PAM认证模块_第11张图片

 

5, 命令历史限制

  • 减少记录的命令条数
  • 注销时自动清空命令历史

想要减少历史记录的命令条数,我们先进入/etc/profile环境变量文件中进行设置,保存退出后将其设置为生效,命令为:soure /etc/profile,或者直接重启,示例

Linux系统安全及应用(1) 账户安全与控制与PAM认证模块_第12张图片

 

 或者对当前环境变量下,单独用户

Linux系统安全及应用(1) 账户安全与控制与PAM认证模块_第13张图片

Linux系统安全及应用(1) 账户安全与控制与PAM认证模块_第14张图片

,6,注销时自动清空

Linux系统安全及应用(1) 账户安全与控制与PAM认证模块_第15张图片

7, 终端自动注销

限制600秒自动注销

Linux系统安全及应用(1) 账户安全与控制与PAM认证模块_第16张图片

 

 source /etc/profile

8,限制su命令用户

    默认情况下,如何用户都允许使用su命令,从而与机会反复尝试其他用户的登录密码,这样带来了安全风险。为了加强su命令的使用控制,可以借助于pam_wheel认证模块只允许极个别用户使用 su 命令进行切换。实现过程如下:将授权使用 su 命令 的用户添加到 wheel 改/etc/pam.d/su 认证配置以启用 pam_wheel 认证。

  • oot→任意用户,不验证密码
  •  普通用户→其他用户,验证目标用户的密码

  •  借用pam_wheel命令来限制用户su命令进行切换
  • 将授权使用su命令的用户添加到whell组

Linux系统安全及应用(1) 账户安全与控制与PAM认证模块_第17张图片

 

 Linux系统安全及应用(1) 账户安全与控制与PAM认证模块_第18张图片

 如果开启第二行,表示只有root用户和whell组内的用户才可以使用su命令

 Linux系统安全及应用(1) 账户安全与控制与PAM认证模块_第19张图片

 9,安全PAM安全认证

1,PAM认证一般1遵循的顺序:service(服务)- PAM(配置文件)-pam *.so:

2,PAM认证首先要确定哪一项应用服务,然后加载相应的pam配置文件,/etc/pam.d下。不同的应用程序所对应的PAM模块也是不同的

Linux系统安全及应用(1) 账户安全与控制与PAM认证模块_第20张图片

1, 每一行都是一个独立的认证过程,

2  ,每一行可以区分为三个字段

  • 认证类型
  • 控制类型
  • PAM模块及其参数

PAM认证类型

  • 认证管理
  • 接受用户名和密码,进而对该用户的密码进行认证
  • 账户管理
  • 检查账户是否被允许登录系统,账号是否已经过期,账号的登录是否有时间段的限制
  • 密码管理
  • 主要用来修改用户的密码
  • 会话管理
  • 主要是提供对会话的管理和记账

PAM控制类型

  • required验证失败时仍然继续,但返回Fail
  • requisite验证失败则立即结束整个验证过程,返回Fail
  • sufficien验证成功则立即返回,不再显示,否则忽略结果并继续
  • optional不用于验证,只是显示信息(通常用于session类型)

你可能感兴趣的:(linux,运维)