Linux系统安全和应用(1) 账户安全和控制和PAM认证模块
目录
一,账号安全基本措施
系统账号清理
- 将非登录用户的shell设为/sbin/nologin
- 锁定长期不使用的账号
- 删除无用的账号
- 锁定账号文件passwd,shadow
1,将非登录用户的shell设为/sbin/nologin
2,锁定长期不使用的用户
1,使用usermod锁定接受用户
2,使用passwd锁定解锁用户
3,删除无用账号
3,锁定账号文件passwd,shadow
锁定账号文件passwd、shadow(冻结不让创建新用户)
锁定账号文件(或者普通文件)禁止修改、写入、删除
chattr -i /etc/passwd /etc/shadow
解锁账号文件(或者普通文件)
lsattr /etc/passwd /etc/shadow
例如:锁定账户文件,禁止创建新用户
例如,能否对文件进行锁定
4,密码安全控制
- 设置密码有效期
- 要求用户下次登录时修改密码
1,设置密码有效期
把PASS_MAX_DAYS: 密码最长有效期99999改为30时,新增账户密码有效期变为30天
对于已经拥有的用户
2,限制用户下次登录就改密码
5, 命令历史限制
- 减少记录的命令条数
- 注销时自动清空命令历史
想要减少历史记录的命令条数,我们先进入/etc/profile环境变量文件中进行设置,保存退出后将其设置为生效,命令为:soure /etc/profile,或者直接重启,示例
或者对当前环境变量下,单独用户
,6,注销时自动清空
7, 终端自动注销
限制600秒自动注销
source /etc/profile
8,限制su命令用户
默认情况下,如何用户都允许使用su命令,从而与机会反复尝试其他用户的登录密码,这样带来了安全风险。为了加强su命令的使用控制,可以借助于pam_wheel认证模块只允许极个别用户使用 su 命令进行切换。实现过程如下:将授权使用 su 命令 的用户添加到 wheel 改/etc/pam.d/su 认证配置以启用 pam_wheel 认证。
- oot→任意用户,不验证密码
- 普通用户→其他用户,验证目标用户的密码
- 借用pam_wheel命令来限制用户su命令进行切换
- 将授权使用su命令的用户添加到whell组
如果开启第二行,表示只有root用户和whell组内的用户才可以使用su命令
9,安全PAM安全认证
1,PAM认证一般1遵循的顺序:service(服务)- PAM(配置文件)-pam *.so:
2,PAM认证首先要确定哪一项应用服务,然后加载相应的pam配置文件,/etc/pam.d下。不同的应用程序所对应的PAM模块也是不同的
1, 每一行都是一个独立的认证过程,
2 ,每一行可以区分为三个字段
- 认证类型
- 控制类型
- PAM模块及其参数
PAM认证类型
- 认证管理
- 接受用户名和密码,进而对该用户的密码进行认证
- 账户管理
- 检查账户是否被允许登录系统,账号是否已经过期,账号的登录是否有时间段的限制
- 密码管理
- 主要用来修改用户的密码
- 会话管理
- 主要是提供对会话的管理和记账
PAM控制类型
- required验证失败时仍然继续,但返回Fail
- requisite验证失败则立即结束整个验证过程,返回Fail
- sufficien验证成功则立即返回,不再显示,否则忽略结果并继续
- optional不用于验证,只是显示信息(通常用于session类型)
这篇好文章是转载于:学新通技术网
- 版权申明: 本站部分内容来自互联网,仅供学习及演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,请提供相关证据及您的身份证明,我们将在收到邮件后48小时内删除。
- 本站站名: 学新通技术网
- 本文地址: /boutique/detail/tanhfkkfie
-
photoshop保存的图片太大微信发不了怎么办
PHP中文网 06-15 -
Android 11 保存文件到外部存储,并分享文件
Luke 10-12 -
word里面弄一个表格后上面的标题会跑到下面怎么办
PHP中文网 06-20 -
《学习通》视频自动暂停处理方法
HelloWorld317 07-05 -
photoshop扩展功能面板显示灰色怎么办
PHP中文网 06-14 -
微信公众号没有声音提示怎么办
PHP中文网 03-31 -
怎样阻止微信小程序自动打开
PHP中文网 06-13 -
excel下划线不显示怎么办
PHP中文网 06-23 -
excel打印预览压线压字怎么办
PHP中文网 06-22 -
photoshop蒙版画笔没反应怎么办
PHP中文网 06-24