[Linux系统]系统安全及应用一

系统安全及应用

  • 一、账号安全基本措施
    • 1.1系统账号清理
      • 1.1.1将非登录用户的shell设为/sbin/nologin
      • 1.1.2锁定长期不使用的账号
      • 1.1.3删除无用的账号
      • 1.1.4锁定账号文件文件chattr
      • 1.1.5查看文件校验和md5sum
    • 1.2密码安全控制
      • 1.2.1设置密码有效期
    • 1.3历史命令限制
      • 1.3.1 减少记录命令的条数
      • 1.3.1登录时自动清空历史命令
    • 1.4终端自动注销
      • 1.4.1闲置300秒后自动注销
  • 二、使用su命令切换用户
    • 2.1用途及用法
      • 2.1.1密码验证
    • 2.2限制用户使用su命令
  • 三、PAM安全认证
    • 3.1PAM认证原理
      • 3.1.1一般遵循的顺序
    • 3.2PAM认证构成
      • 3.2.1第一列代表认证模块类型
      • 3.2.2第二列代表PM控制标记
      • 3.2.3第三列代表PAM模块,默认是在/1b64/security/日录下,如果不在此默认路径下,要填写绝对路径。
      • 3.2.4第四列代表PAM模块的参数,这个需要根据所使用的模块来添加。
  • 四、使用sudo机制提升权限
    • 4.1sudo命令的用途及用法
    • 4.2配置sudo授权
    • 4.3别名创建

一、账号安全基本措施

1.1系统账号清理

1.1.1将非登录用户的shell设为/sbin/nologin

  • usmod -s /sbin/nologin 用户名

1.1.2锁定长期不使用的账号

  • usermod -L passwd -l

1.1.3删除无用的账号

  • usermdel -r

1.1.4锁定账号文件文件chattr

选项 作用
+i 锁定文件
lsttr 查看文件状态
-i 解锁文件

[Linux系统]系统安全及应用一_第1张图片

1.1.5查看文件校验和md5sum

[Linux系统]系统安全及应用一_第2张图片

1.2密码安全控制

1.2.1设置密码有效期

  • vim /etc/login.defs (仅适用新建的用户)
  • chage -M 时间 用户名 (适用于已有的用户)
  • chage -d 0 用户名 (强制用户在下次登录修改密码)

[Linux系统]系统安全及应用一_第3张图片
[Linux系统]系统安全及应用一_第4张图片
[Linux系统]系统安全及应用一_第5张图片
chage -M 时间 用户名 (适用于已有的用户)
[Linux系统]系统安全及应用一_第6张图片
chage -d 0 用户名 (强制用户在下次登录修改密码)

  • 会把shadow文件的第三个字段修改为0
    [Linux系统]系统安全及应用一_第7张图片
    [Linux系统]系统安全及应用一_第8张图片

1.3历史命令限制

1.3.1 减少记录命令的条数

/etc/profile
[Linux系统]系统安全及应用一_第9张图片
[Linux系统]系统安全及应用一_第10张图片
[Linux系统]系统安全及应用一_第11张图片

1.3.1登录时自动清空历史命令

history -c,清空历史命令
[Linux系统]系统安全及应用一_第12张图片
在/etc/profile,设置
[Linux系统]系统安全及应用一_第13张图片
在/etc/bahsrc/设置
[Linux系统]系统安全及应用一_第14张图片

1.4终端自动注销

1.4.1闲置300秒后自动注销

在/etc/profile设置
[Linux系统]系统安全及应用一_第15张图片

二、使用su命令切换用户

2.1用途及用法

  • 用途:切换用户
  • 格式: su - 用户 (‘-’会自动切换为当前用户的家目录,及shell环境)

2.1.1密码验证

  • root 切换任意用户,不验证密码
  • 普通用户切换其他用户,验证目标用户密码

2.2限制用户使用su命令

(1)加入wheel组

[Linux系统]系统安全及应用一_第16张图片

(2)进入/etc/pam.d/su把第二行和第四行注释取消

[Linux系统]系统安全及应用一_第17张图片
[Linux系统]系统安全及应用一_第18张图片

三、PAM安全认证

  • 是一种高效且灵活便利的用户级别的认证方式
  • 也是当前LIinux服务器普遍使用的认证方式

3.1PAM认证原理

3.1.1一般遵循的顺序

  • Service(服务)——PAM (配置文件)——pam_*.so
  • 首先要确认哪一项服务,然后加载相应的PAM配置文件(/etc/pam.d),最后调用认证文件(/lib64/ )进行安全认证
  • 用户访问服务器时,服务器的某个服务程序把用户的请求发送到PAM模块进行认证
  • 不同的应用程序对应的PAM模块是不同的

3.2PAM认证构成

3.2.1第一列代表认证模块类型

  • auth: 对用户身份进行识别,如提示输入密码,判断是否为root.
  • agcount; 对账号各项属性进行检查,如是否允许登求系统,账号是否已经过期,是否达到最大用户数等。
  • password: 使用用户信息来更新数据,如修改用户密码
  • sssion: 定义登采前以及退出后所要进行的会话操作管理,如登录连接信息,用户数据的打开和关闭,挂裁文件系统

3.2.2第二列代表PM控制标记

  • required:表示需要这回一个成功值,如果这回失败,不会立刻将失败结果这回,而是继续进行同类型的下一证,所有此类型的模块都执行完成后,再这回失败
  • requisite: 与required类似,但如果此模块返回失败,则立刻返回失败并表示此类型失败。
  • optional:不进行成功与否的返同,一般不用予验证,只是张示信息(通常用卡 aesaion 为型)
  • include;表示在验证过程中调用其他的PM置文件。比如很多应用通过完整调用/etc/pam,d/ayatem-ath主要负责用户登录系统的认证工作)来实现认证而不需要承新退一步写配置项。

3.2.3第三列代表PAM模块,默认是在/1b64/security/日录下,如果不在此默认路径下,要填写绝对路径。

  • 同一个模块,可以出现在不同的模块类型中,它在不同的类型中所执行的操作都不相同,这是由于每个模块针对不同的校决类型编制了不同的执行质数。

3.2.4第四列代表PAM模块的参数,这个需要根据所使用的模块来添加。

  • 传递给模块的参数。参数可以有多个,之间用空格分隔开
  • [Linux系统]系统安全及应用一_第19张图片

四、使用sudo机制提升权限

4.1sudo命令的用途及用法

  • 用途:以其它用户身份执行授权命令
  • 用法: sudo 授权命令
  • 记录格式: 用户 主机名=命令程序列表
  • sudo -l (查看有哪些命令的权限)

4.2配置sudo授权

  • 记录格式: 用户 主机名=命令程序列表
  • %组名 主机名=程序列表

visudo或vim/etc/sudoers

[Linux系统]系统安全及应用一_第20张图片
[Linux系统]系统安全及应用一_第21张图片

4.3别名创建

User_Alias 大写的别名 = 用户,用户,用户
Host_Alias 大写的别名 = 主机,主机,、主机
Cmnd_Alias 大写的别名 = 程序,程序,程序
添加免密操作
用户 主机名=NOPASSWD: 程序命令列表
[Linux系统]系统安全及应用一_第22张图片
[Linux系统]系统安全及应用一_第23张图片

你可能感兴趣的:(Linux,linux,系统安全,vim)