系统安全及应用（一）

目录

系统账号清理

将非登录用户的Shell设备/sbin/nologin

锁定长期不使用的账号

删除无用的号

锁定账号文件passwd、shadow

密码安全控制

设置密码有效期

要求用户下次登录时修改密码

命令历史限制

减少记录的命令条数

终端自动注销

限制su命令用户

PAM安全认证

PAM及其作用

PAM认证原理

PAM认证的构成

PAM认证类型

PAM控制类型

---

系统账号清理

将非登录用户的Shell设备/sbin/nologin

锁定长期不使用的账号

 再passwd解锁

删除无用的号

锁定账号文件passwd、shadow

chattr -i /etc/passwd /etc/shadow ：解锁文件并查看状态，解锁用户创建

chattr +i /etc/passwd /etc/shadow ：锁定文件并查看状态，锁定用户创建

lsattr /etc/passwd /etc/shadow  :查看

-------------------------/etc/passwd

------------------------/etc/shadow

示例：

用户创建锁定

解锁用户创建

文件锁定

 

 文件解锁

密码安全控制

设置密码有效期

 这里把有效期改成了100天

将lisi用户的密码有效最大天数为30天

 

要求用户下次登录时修改密码

chage -d 0 用户名

命令历史限制

减少记录的命令条数

vi /etc/login.defs（进入编辑界面）

HISTSIZE=100(自定义数量）

reboot重启查看

终端自动注销

 

限制su命令用户

root用户可以切换到任意用户，其他用户切换到root用户需要密码

 

借助于pam_wheel认证模块只允许极个别用户使用 su 命令进行切换

 

把第二行的auth的#删掉，此时只有root和wheel中的用户可以使用su命令

 

 这里只有root和wheel中的用户可以使用su命令了

PAM安全认证

PAM及其作用

1：PAM是一种高效而且灵活便利的用户级别认证方式，他也是当前Linux服务器普遍使用的认证方式
2：PAM提供了对所有服务进行认证的中央机制，适用于login，远程登录，su等应用程序
3：系统管理员通过PAM配置文件来制定不同应用程序的不同认证策略

PAM认证原理

1：PAM认证顺序：Service（服务）> PAM（配置文件）> pam_*.so
2：PAM认证首先要确定哪一项服务，然后加载相应的PAM的配置文件（位于/etc/pam.d）,最后调用认证文件（位于/lib/security下）进行安全认证
3：用户访问服务器的时候，服务器的某一个服务程序把用户的请求发送到PAM认证模块。不同的应用程序所对应的PAM模块也是不同的

PAM认证的构成

查看su的PAM配置文件

1：每一行都是一个独立的认证过程
2：每一行可以区分为三个字段
①认证类型
②控制类型
③PAM模块及其参数

PAM认证类型

1：认证管理
接受用户名和密码，进而对该用户的密码进行认证
2：账户管理
检查账户是否被允许登录系统，账号是否已经过期，账号的登录是否有时间段的限制
3：密码管理
主要用来修改用户的密码
4：会话管理
主要是提供对会话的管理和记账

PAM控制类型

1：required验证失败时仍然继续，但返回Fail
2：requisite验证失败则立即结束整个验证过程，返回Fail
3：sufficien验证成功则立即返回，不再显示，否则忽略结果并继续
4：optional不用于验证，只是显示信息（通常用于session类型）