Linux系统安全及应用

目录

一、账号安全控制

 二、密码安全控制

 三、命令历史限制

三、Su命令

四、 PAM认证原理（防暴力破解）

五、sudo授权

---

一、账号安全控制

控制账号安全基本措施：

1、将非登录用户的Shell 设为/sbin/nologin

 2.锁定长期不使用的账号 /解锁账号

①使用usermod锁定、解锁

usermod -l 账户名   锁定账户

usermod -u 账户名  解锁账户

②使用passwd 锁定、解锁

passwd -l 账户名   锁定账户

passwd -u 账户名  解锁账户

 3.删除无用账号

userdel -r 

4.锁定账号文件

passwd、shadow（冻结不让创建新用户）

锁定账号文件（或者普通文件）禁止修改、写入、删除

chattr -i /etc/passwd /etc/shadow 

解锁账号文件（或者普通文件）

lsattr  /etc/passwd /etc/shadow 

例：锁定账户文件，禁止创建新用户

 

 提示：锁定后只能查看，不可以修改和删除

 二、密码安全控制

设置新用户密码有效期

进入vi /etc/login.defs，修改密码有效期

 

 对老用户修改密码有效期

 用户下次登陆时修改密码

 三、命令历史限制

修改历史记录数量

进入vim /etc/profile，修改histsize，后面的数字表示保留的条数

 

 用户登出时清除命令

 

重启查看历史命令

 

 自动注销

设置600秒无任何操作 自动注销

 

三、Su命令

root用户切换到普通用户 无需密码

普通用户切到root用户 需要密码

 限制使用su命令的用户
 默认情况下，任何用户都允许使用 su 命令，从而有机会反复尝试其他用户（如 root） 的登录密码，这样带来了安全风险。为了加强 su 命令的使用控制，可以借助于 pam_wheel 认证模块，只允许极个别用户使用 su 命令进行切换。实现过程如下：将授权使用 su 命令 的用户添加到 wheel 组，修改/etc/pam.d/su 认证配置以启用 pam_wheel 认证。

 以上两行是默认状态(即开启第一行，注释第二行)，这种状态下是允许所有用户间使用su命令进行切换的。
两行都注释也是运行所有用户都能使用su命令，但root下使用su切换到其他普通用户需要输入密码;如果第一行不注释，则root使用su切换普通用户就不需要输入密码(pam_rootok.so模块的主要作用是使uid为o的用户，即root用户能够直接通过认证而不用输入密码。
如果开启第二行，表示只有root用户和wheel组内的用户才可以使用su命令
如果注释第一行，开启第二行，表示只有wheel组内的用户才能使用su命令，root用户也被禁用su命令。

例 将yasuo用户加入到wheel

 查看wheel组成员

四、 PAM认证原理（防暴力破解）

①配置方法：文件位置  vim /etc/pam.d/sshd

在下面一行添加 auth required pam.tally2.so deny=3 unlock=600 even_deny_root root_unlock_time=1200  (尝试登陆失败超过3次，普通用户600秒解锁，root用户1200秒解锁)

 第一列代表PAM认证模块的类型
auth：对用户身份仅从识别
account：对账号各项属性进行检查
password：使用用户信息来更新数据
session：定义登陆前以及推出后所要进行的会话操作管理
第二列代表PAM控制标记
required:表示需要返回一个成功值，如果返回失败，不会立刻将失败结果返回，而是继续进行同类型的下一验证，所有此类型的模块都执行完成后，再返回失败。
requisite:与required类似，但如果此模块返回失败，则立刻返回失败并表示此类型失败。
sufficient:如果此模块返回成功，则直接向程序返回成功，表示此类成功，如果失败，也不影响这类型的返回值。
optional: 不进行成功与否的返回，一般不用于验证，只是显示信息(通常用于session类型),
include:表示在验证过程中调用其他的PAM配置文件。比如很多应用通过完整调用/etc/pam.d/system-auth(主要负责用户登录系统的认证工作)来实现认证而不需要重新逐一去写配置项。
第三列代表PAM模块
默认是在/lib64/security/目录下，如果不在此默认路径下，要填写绝对路径。同一个模块，可以出现在不同的模块类型中，它在不同的类型中所执行的操作都不相同，这是由于每个模块针对不同的模块类型编制了不同的执行函数。
第四列代表PAM模块的参数
这个需要根据所使用的模块来添加。传递给模块的参数。参数可以有多个，之间用空格分隔开
每一行都是一个独立的认证过程
每一行可以区分为三个字段：认证类型、控制类型、PAM模块及其参数
PAM 认证类型包括四种：
认证管理（authentication management）：接受用户名和密码，进而对该用户的密码进行认证；
帐户管理（account management）：检查帐户是否被允许登录系统，帐号是否已经过期，帐号的登录是否有时间段的限制等；
密码管理（password management）：主要是用来修改用户的密码；
会话管理（session management）：主要是提供对会话的管理和记账。 控制类型也可以称做 Control Flags，用于 PAM 验证类型的返回结果。
1.required验证失败时仍然继续，但返回 Fail
2.requisite验证失败则立即结束整个验证过程，返回 Fail
3.sufficient验证成功则立即返回，不再继续，否则忽略结果并继续
4.optional不用于验证，只是显示信息（通常用于 session 类型）
 

五、sudo授权

sudo的配置文件/etc/sudoers文件默认权限为440，需使用专门的visudo工具进行编辑。
也可以用vi进行编辑，但保存时必须执行":w!"命令来强制操作，否则系统将提示为只读文件而拒绝保存。

语法格式
用户 主机名=命令程序列表
用户 主机名=(用户) 命令程序列表

1、用户：直接授权指定的用户名，或采用“%组名”的形式（授权一个组的所有用户）。
2、主机名：使用此规则的主机名。没配置过主机名时可用localhost，有配过主机名则用实际的主机名，ALL则代表所有主机
3、(用户)：用户能够以何种身份来执行命令。此项可省略，缺省时以root用户的身份来运行命令
4、命令程序列表：允许授权的用户通过sudo方式执行的特权命令，需填写命令程序的完整路径，多个命令之间以逗号“,”进行分隔。
ALL则代表系统中的所有命令

进入vim /etc/sudoers  文件并进行编辑

给yasuo用户添加权限