目录
一、账号安全基本措施
1.系统账号清理
2.密码安全控制
3.历史命令安全管理
4.限制su切换用户
1)将信任的用户加入到wheel组中
2)修改su的PAM认证配置文件
5.ssh远程登录输入三次密码错误则锁定用户
二、Linux中的PAM安全认证
1.su命令的安全隐患
2.PAM
3.PAM认证原理
4.PAM的配置文件
三、使用sudo提权
1.使用sudo
2.配置sudo
3.使用别名进行授权
一、账号安全基本措施
1.系统账号清理
将非登录用户的Shell设为/sbin/nologin
usermod -s /sbin/nologin 用户名
锁定长期不使用的账号
usermod -L 用户名
passwd -l 用户名
passwd -S 用户名
删除无用的账号
userdel [-r] 用户名
锁定账号文件passwd、shadow
chattr +i /etc/passwd /etc/shadow
lsattr /etc/passwd /etc/shadow #锁定文件并查看状态
chattr -i /etc/passwd /etc/shadow #解锁文件
2.密码安全控制
设置密码有效期
要求用户下次登录时修改密码
| 参数 | 说明 |
|---|---|
| -m | 密码可更改的最小天数,为0时代表任何时候 |
| -M | 密码保持有效的最大天数 |
| -w | 用户密码到期前,提前收到警告信息的天数 |
| -E | 账号到期的日期 |
| -d | 上一次更改的日期 |
| -i | 停滞时期。如果一个密码已过期这些天,那么此账号将不可用 |
[root@bogon ~]# useradd lisi
[root@bogon ~]# echo 123456 | passwd --stdin lisi
更改用户 lisi 的密码 。
passwd:所有的身份验证令牌已经成功更新。
[root@bogon ~]# chage -M 30 lisi #密码有效期为30天[root@bogon ~]# chage -M 99999 lisi #99999代表密码永不过期[root@bogon ~]# chage -d 0 lisi #用户下次登录修改密码3.历史命令安全管理
查看历史命令 history
限制历史命令数量 vim /etc/profile --> export HISTSIZE=XX --> source /etc/profile清空历史命令 history -c #临时清空
vim /etc/profile --> > ~/.bash_history
4.限制su切换用户
1)将信任的用户加入到wheel组中
gpasswd wheel -a 用户名
[root@bogon ~]# useradd zhangsan
[root@bogon ~]# gpasswd wheel -a zhangsan #将用户加入到wheel组中,就可以实现su切换用户
正在将用户“zhangsan”加入到“wheel”组中
[root@bogon ~]# su zhangsan
[zhangsan@bogon root]$ su root
密码:
[root@bogon ~]#
2)修改su的PAM认证配置文件
vim /etc/pam.d/su -> 开启 auth required pam_wheel.so use_uid 的配置
5.ssh远程登录输入三次密码错误则锁定用户
vim /etc/pam.d/sshd
auth required pam_tally2.so deny=3 unlock_time=600 even_deny_root root_unlock_time=600
二、Linux中的PAM安全认证
1.su命令的安全隐患
默认情况下,任何用户都允许使用su命令,有机会反复尝试其他用户(如root)的登录密码,带来安全风险
为了加强su命令的使用控制,可借助PAM认证模块,只允许极个别用户使用su命令进行切换
2.PAM
(Pluggable Authentication Modules)可拔插式认证模块
是一种高效而且灵活便利的用户级别的认证方式
也是当前Linux服务器普遍使用的认证方式
3.PAM认证原理
一般遵循的顺序:service(服务)->PAM(配置文件)->pam_*.so
首先要确定哪一项服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib64/security下)进行安全认证
用户访问服务器时,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证
不同的应用程序所对应的PAM模块是不同的
4.PAM的配置文件
PAM的配置文件中的每一行都是一个独立的认证过程,它们按从上往下顺序依次由PAM模块调用
第一列代表PAM认证模块类型
auth:认证模块接口,如验证用户身份、检查密码是否可以通过,并设置用户凭据
account:账户模块接口,检查指定账户是否满足当前验证条件,如用户是否有权访问所请求的服务,检查账户是否到期
password:密码模块接口,用于更改用户密码,以及强制使用强密码配置
session:会话模块接口,用于管理和配置用户会话。会话在用户成功认证之后启动生效
第二列代表PAM控制标记
required:模块结果必须成功才能继续认证,如果在此处测试失败,则继续测试引用在该模块接口的下一个模块,直到所有的模块测试完成,才将结果通知给用户。
requisite:模块结果必须成功才能继续认证,如果在此处测试失败,则会立即将失败结果通知给用户。
sufficient:模块结果如果测试失败,将被忽略。如果sufficient模块测试成功,并且之前的required模块没有发生故障,PAM会向应用程序返回通过的结果,不会再调用堆栈中其他模块。
optional:该模块返回的通过/失败结果被忽略。一般不用于验证,只是显示信息(通常用于 session 类型)。
include:与其他控制标志不同,include与模块结果的处理方式无关。该标志用于直接引用其他PAM模块的配置参数
第三列代表PAM模块
默认是在/lib64/security/目录下,如果不在此默认路径下,要填写绝对路径。
同一个模块,可以出现在不同的模块类型中,它在不同的类型中所执行的操作都不相同,这是由于每个模块针对不同的模块类型编制了不同的执行函数。
第四列代表PAM模块的参数
这个需要根据所使用的模块来添加。
传递给模块的参数。参数可以有多个,之间用空格分隔开
三、使用sudo提权
1.使用sudo
用途:以其他用户身份(如root)执行授权的命令
用法:sudo 授权命令
2.配置sudo
vi /etc/sudoers(此文件的默认权限为 440,保存退出时必须执行“:wq!”命令来强制操作)
3.使用别名进行授权
User_Alias 大写别名=用户1, 用户2, ...
Host_Alias 大写别名=主机名1, 主机名2, ...
Cmnd_Alias 大写别名=命令路径1, 命令路径2, ...
用户别名 主机别名=命令别名
补充知识:
#设置sudo日志路径
Defaults logfile = "/var/log/sudo.log"
sudo -l #普通用户查看有哪些sudo权限
