centOS7帳戶安全控制(一)

今天講的是Linux裏的帳號安全控制

用戶帳號，是計算機使用者的身份憑證和標識，每個要訪問系統資源的人，必須憑證借其用戶帳號才能進入計算機。

系統帳號清理

在Linux系統中，除了用戶手動建立的各類帳號以外，還包括隨系統或程序安裝過程當中而生成的其餘大量帳號。除了超級用戶root以外，其餘大量帳戶只是用來維護系統運做、自動或保持服務進程，通常是不容許登陸的，所以也稱爲非登陸用戶。

一、首先輸入grep "bash" /etc/passwd 查看有哪些用戶能夠登陸當前的服務器。

二、建立新用戶lisi，輸入useadd lisi 敲擊回車，接着輸入passwd ilsi 設置密碼。

三、接下來咱們要作的就是如何對咱們useradd這個文件進行控制，輸入lsatt /etc/passwd /etc/shadow，看看文件是否有鎖住。

四、如今須要給文件上鎖，輸入

chattr +i /etc/passwd /etc/shadow/

五、這時候咱們再到文件已經上鎖，用useradd看看是否能夠建立用戶，再輸入tail -5 /etc/passwd 看看有沒有建立成功。

六、能夠看到用戶建立失敗，接下來進行解鎖輸入

chattr -i /etc/passwd /etc/shadow

七、能夠看到文件屬於解鎖狀態了，接下來咱們新建用戶試試看是否成功。

---

密碼安全控制

在不一樣的網絡環境中，爲了下降密碼被猜出或者被暴力破解的風險，用戶應養成更改密碼的習慣，避免長期使用一個密碼。管理員能夠在服務器端限制用戶密碼的最大有效天數，對於密碼已過時的用戶，登陸將被要求從新設密碼，不然將拒絕登陸。

一、輸入vim etc/shadow 查看帳戶的密碼文件。

二、能夠看到其中root和一些已存在用戶的密碼有效期是永久，接下來咱們在配置文件裏修改已存在用戶，輸入vim /etc/login.defs，進入能夠看到全是密碼屬性，按"/「輸入99999查找到該位置，dw刪除，按"a"將密碼最長有效期修改成30天，wq保存退出。

三、進入剛纔的密碼文件看看是否修改爲功。

四、這時候新添加個用戶，再進入密碼文件最長有效期是否是30天。

五、輸入chage -M 30 wangwu ，進行以建立的用戶修改有效期。

六、接下來就是用chage -d 0指定用戶下次登陸時修改密碼。

七、這時候咱們輸入一個新密碼會發現並不能夠登陸。

八、咱們再輸入一個複雜性的密碼看看，是否能夠。

九、發現仍是失敗了，由於它的不容許使用連續的字符和連續的阿拉伯數字。

---

命令歷史、自動註銷

Shell環境的命令歷史機制爲用戶提供了極大的便利，但另外一方面也給用戶帶來了潛在的風險。只要得到用戶的命令歷史文件，該用戶的命令操做過程將會盡收眼底，若是曾經在命令行輸入明文的密碼，則無心之中服務器的安全壁壘又多了一個缺口。
一、輸入history查看輸入過的歷史命令記錄。

二、經過修改/etc/profile文件中的環境變量值，能夠影響系統中的全部用戶。

三、其中歷史命令的記錄條數默認爲1000條，咱們按「/」查詢，Shift+R進行替換，輸入20，wq退出保存，修改命令歷史記錄爲20條。

四、輸入history查看是否顯示歷史命令20條。

五、能夠發現修改保存退出以後也沒有執行，這時候輸入source /etc/profile，再看看是否能夠。

當每次修改完環境變量以後，若是不想重啓的話必定要輸入source /etc/profile 讓它生效。

一、在每一個用戶裏都有一個環境變量配置文件，輸入cd /home/zhanngsan,能夠看到用戶環境變量配置文件。

二、輸入vim .bash_logout，進入配置文件。

三、在配置文件中輸入history -c clear wq保存退出，這樣每次註銷了以後就會清空歷史命令。

自動註銷
Bash環境終端中，還能夠設置一個閒置超時時間，當超過指定的時間沒有任何輸入時即自動註銷終端。
一、輸入vim /etc/profile進入配置文件。

二、閒置超時由變量TMOUT來控制，默認單位爲秒，在配置文件中操做TMOUT會發現沒有這個指令。

三、按「o"輸入export TMOUT=200，wq保存。

四、再輸入source /etc/profile 執行。

而後咱們以後只要超過200秒系統客戶端就會自動註銷。

用戶切換與提權

大多數Linux服務器並不建議用戶直接以root用戶直接登陸。一方面能夠大大減小因失誤而致使的破壞，另外一方面也下降了特權密碼在不安全的網絡中被泄露的風險。鑑於這些緣由，須要爲普通用戶體提供一種身份切換或權限提高機制，以便在必要的時候執行權限。
su命令——切換用戶
使用su命令，能夠切換爲指定的另外一個用戶，從而具備該用戶的全部權限。
一、這時候咱們用普通用戶登陸輸入su root 切換管理員身份。

二、輸入grep "bash$" /etc/passwd查看有能夠登陸的用戶。

三、用su能夠在用戶間來回切換。

默認狀況下，任何用戶讀容許使用su命令，從而有機會反覆嘗試其餘用戶的登陸密碼，帶來安全風險。爲了增強su命令的使用控制，能夠藉助pam_wheel認證模塊，只容許極個別用戶使用su命令進行切換。
四、能夠看出只要是知道root的密碼就均可以切換至root輸入密碼進入，咱們接下來說的就是指定用戶切換root。
輸入vim /etc/pam.d/su進入配置文件。

移動至#auth處，輸入dw刪除#開啓wheel，輸入wq保存並退出。

輸入vim /etc/group 查看wheel相對應的用戶是什麼。

輸入id akg查看用戶是否被默認添加到wheel裏

如今添加用戶bose看看bose可不能夠切換root用戶。

咱們能夠看到拒絕權限，如今bose就不能夠切換用戶，接下來輸入gpasswd -a bose wheel 添加到wheel裏，再進行用戶切換。

sudo命令——提高執行權限
經過sudo命令可讓普通用戶擁有一部分管理權限，有須要將root的用戶密碼告訴它，不過須要由管理員預先進行受權，指定容許哪些用戶以超級用戶的身份來執行哪些命令。
一、輸入vim /etc/sudoers就能夠進入配置文件。

二、咱們以前已經把akg和bose用戶都添加到了wheel組裏了，進入配置文件看到wheel容許全部用戶以超級用戶的身份來執行全部命令。

三、新建立用戶lisi。

四、輸入id lisi 能夠看到lisi不屬於wheel組。

五、如今咱們切換lisi用戶登陸，登陸以後咱們使用看看是否能夠修改ip地址，右擊打開終端，輸入ipconfig ens33 192.71.140。

六、發現並不能夠修改ip地址，輸入which ifconfig查看該命令在哪一個目錄裏。

七、ipconfig的命令在/sbin/裏，輸入sudo ifconfig 192.168.71.140，就能夠修改ip地址，會提示讓咱們輸入用戶密碼。

八、可是輸入密碼以後會提示咱們不在sudoers當中。

九、剛纔咱們的bose和akg都在wheel組中，如今點擊註銷切換用戶，如今咱們輸入sudo ifconfig ens33 192.168.71.140，修改ip地址。

十、若是咱們想讓lisi用戶也能夠修改ip地址的話也是有辦法的，首先切換用戶至root，輸入vim /etc/sudoers進入配置文件在Host Aliases這一欄空白處寫入:lisi(用戶)localhost(主機名)=/sbin/ifconfig(使用sbin裏的ifconfig命令)，wq保存退出。

十一、退出保存以後切換到isi用戶，輸入sudo ifconfig ens33 192.168.71.139,咱們能夠看到lisi也能夠修改ip地址。

PAM安全認證

PAM是Linux系統中可插拔認證模塊，Linux系統使用su命令存在安全隱患，默認狀況，任何狀況下，任何用戶都容許使用su命令，從而有機會反覆嘗試其餘用戶的登陸密碼，帶來安全風險。
爲了增強su命令的使用控制，能夠藉助PAM認證模塊，只容許極個別用戶使用su命令進行切換。
一、PAM及其做用
(1)、PAM是一種高效並且靈活便利的用戶級別認證方式，它也是當前Linux服務器廣泛使用的認證方法。
(2)、PAM提供了對全部服務進行認證的中央機制，適用於login,遠程登陸，su等應用程序。
(3)、系統管理員經過PAM配置文件來制定不一樣應用程序的不一樣認證策略。
PAM認證原理
(1)、PAM認證通常遵循的順序：Service(服務)—>PAM(配置文件)—>pam_*.so

(2)、PAM認證首先要肯定哪一項服務，而後加載相應的PAM配置文件(/etc/pam.d下)，最後調用認證文件進行安全認證。
(3)、用戶訪問服務器的時候，服務器的某一個服務程序把用戶的請求發送到PAM沒模塊進行認證。不一樣的應用程序所對應的PAM模塊也是不一樣的。
PAM認證的結構
(1)每一行都是一個獨立的認證過程(2)每一行能夠區分爲三個字段：1)認證類型2)控制類型3)PAM模塊及其參數