一、账号安全基本措施
1.1 系统账号清理
将非登录用户的shell设为/sbin/nologin
usermod -s /sbin/nologin
锁定长期不使用的账号
usermod -L 用户名 锁定 passwd -l 用户名 锁定 u小 passwd -S 用户名 查看用户状态
删除无用的账号
userdel -r 用户名
锁定账号文件passwd、shadow
chatter +i /etc/passwd /etc/shadow 锁定 lsatter /etc/passwd /etc/shadow 查看 chatter -i /etc/passwd /etc/shadow 解锁
1.2 密码安全控制
设置密码有效期
要求用户下次登录时修改密码
示例1:查看密码的配置文件/etc/login.defs
1.2.1 chage命令--修改账号和密码的有效期
chage命令是用来临时修改帐号和密码的有效期限;这个信息由系统用于确定用户何时必须更改其密码
常用选项:
| 参数 | 说明 |
| -m | 密码可更改的最小天数,为0时代表任何时候 |
| -M | 密码保持有效的最大天数 |
| -w | 用户密码到期前,提前收到警告信息的天数 |
| -E | 账号到期的日期 |
| -d | 上一次更改的日期 |
| -i | 停滞时期。如果一个密码已过期这些天,那么此账号将不可用 |
| -l | 列出当前的设置。由非特权用户来确定他们的密码或账号何时过期 |
示例1
示例2
0表示用户应该在下次登录系统时更改密码
1.3 命令历史限制
减少记录的命令条数
注销时自动清空命令历史
示例1:临时清除
示例2:永久生效
source一下就生效了
1.4 终端自动注销
示例1:开机永久清空历史命令
示例2:设置每60秒清空一次历史命令
1.5 使用su命令切换用户
用途:切换用户
格式:su - 目标用户
1.5.1 密码验证:
root切换至任意用户,不需要密码
普通用户切换到其他用户,需要验证密码
示例1:
示例2:
1.5.2 限制使用su命令的用户
默认情况下,任何用户都允许使用su命令,从而有机会登录到其他用户,这样带来了安全风险,为了加强su命令的使用控制,可以借助于pam_wheel认证模块
查看某个程序是否支持PAM认证,可以用ls命令:ls /etc/pam.d |grep su
查看su的PAM配置文件:cat /etc/pam.d/su
每一行都是一个独立的认证过程
每一行可以区分为三个字段:
1.认证类型
2.控制类型
3.PAM模块及其参数
1 #%PAM-1.0 2 auth sufficient pam_rootok.so 3 # Uncomment the following line to implicitly trust users in the "wheel" g roup. 4 #auth sufficient pam_wheel.so trust use_uid 5 # Uncomment the following line to require a user to be in the "wheel" gro up. 6 #auth required pam_wheel.so use_uid 7 auth substack system-auth 8 auth include postlogin 9 account sufficient pam_succeed_if.so uid = 0 use_uid quiet 10 account include system-auth 11 password include system-auth 12 session include system-auth 13 session include postlogin 14 session optional pam_xauth.so # a)开启第二行和注释第六行是默认状态,这种状态下是允许所有用户使用su命令进行切换的 # b)两行都注释也是运行所有用户都使用su命令,但是root切换到普通用户需要输入密码 # c)如果开启第六行表示使用root用户和wheel组内的用户才可以使用su命令 # d)如果注释第二行开始第六行,表示只有wheel组内的用户才能使用su命令,root用户也被禁用su命令
将允许使用su命令的用户加入wheel组(附加组)
启用pam_wheel认证模块,在/etc/pam.d下的su文件中
图:pam认证
1.6 PAM认证原理
顺序:service(服务)->PAM(配置文件)->pam_*.so
首先要确定哪一项服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib64/security下)进行安全认证
用户访问服务器时,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证
不同的应用程序所对应的PAM模块是不同的
PAM的配置文件中的每一行都是一个独立的认证过程,它们按从上往下的顺序依次由PAM模块调用 cat /etc/pam.d/system-auth 第一列代表PAM认证模块类型 1.auth: 对用户身份进行识别,如提示输入密码,判断是否为root。 2.account: 对账号各项属性进行检查,如是否允许登录系统,帐号是否已经过期,是否达到最大用户数等。 3.password: 使用用户信息来更新数据,如修改用户密码。 4.session:定义登录前以及退出后所要进行的会话操作管理,如登录连接信息,用户数据的打开和关闭,挂载文件系统,能连接几个终端
第二列代表PAM控制标记 1.required:表示需要返回一个成功值,如果返回失败,不会立刻将失败结果返回,而是继续进行同类型的下一验证,所有此类型的模块都执行完成后,再返回失败。 2.requisite:与required类似,但如果此模块返回失败,则立刻返回失败并表示此类型失败。 3.sufficient:如果此模块返回成功,则直接向程序返回成功,表示此类成功,如果失败,也不影响这类型的返回值。 4.optional: 不进行成功与否的返回,一般不用于验证,只是显示信息(通常用于session类型), 5.include:表示在验证过程中调用其他的PAM配置文件。比如很多应用通过完整调用/etc/pam.d/system-auth(主要负责用户登录系统的认证工作)来实现认证而不需要重新逐一去写配置项。
第三列代表PAM模块
默认是在/lib64/security/目录下,如果不在此默认路径下,要填写绝对路径。同一个模块,可以出现在不同的模块类型中,它在不同的类型中所执行的操作都不相同,这是由于每个模块针对不同的模块类型编制了不同的执行函数。
第四列代表PAM模块的参数
这个需要根据所使用的模块来添加。传递给模块的参数,参数可以有多个,之间用空格分隔开
1.6.1 PAM安全认证流程
1.required验证失败时仍然继续,但是返回Fail
2.requisite验证失败则立即结束整个验证过程,返回Fail
3.sufficient验证成功则立即返回,不再继续,否则忽略结果并继续
4.optional不用于验证,只显示信息
示例1
示例2:安全日志文件/var/log/secure
1.7 使用sudo机制提升权限
示例
1.7.1 配置sudo授权
visudo或者vi /etc/sudoers 两个文件一样
记录格式:用户 主机名列表=命令程序列表
lisi localhost=/sbin/ifconfig
liwu localhost=/sbin/*,!/sbin/ifconfig
#可以搭配通配符使用,*全部,!取反
总结
vim /etc/login.defs 适用于新建用户
chage -M 30 lisi 适用于已有用户
