CentOS 7 Linux經常使用命令（10）系統安全及應運（1）帳號安全控制

時間 2019-11-06

標籤 centos linux 經常使用命令系統安全應運帳號控制欄目 CentOS 简体版

原文原文鏈接

1、帳號安全措施

一、系統帳號清理

將非登陸用戶的Shell設爲/sbin/nologin
鎖定長期不使用的帳戶
刪除無用的帳號
鎖定帳號文件passwd、shadow
經常使用命令有
查看當前狀態：lsattr /etc/passwd /etc/shadow
鎖定文件：chattr +i /etc/passwd /etc/shadow
解鎖文件：chattr -i /etc/passwd /etc/shadow
vim

二、密碼安全控制

設置密碼有效期
要求用戶下次登陸時修改密碼
經常使用命令
適用於新建用戶：
進入vim /etc/login.defs
PASS_MAX_DAYS 30
適用於已有用戶：
chage -M 30 lisi
強制在下次登陸時更改密碼：
chage -d 0 zhangsan
這條命令執行後，再次登陸時，密碼必須大於8位，並且不能爲連續的字母或數字。

建立zhaoliu用戶並設置密碼

查看zhaoliu的密碼狀態

將；lisi用戶設爲下次登陸修改密碼，讓wangwu帳戶的密碼時限改成30天

查看lisi和wangwu的密碼狀態
安全

三、命令歷史、自動註銷

減小記錄的命令條數
vim /etc/profile
HISTSIZE=20
source /etc/profile

註銷時自動清除命令歷史
vim ~/.bash_logout
history -c
clear

完成上述配置後當用戶退出登陸的bash環境後，所記錄的歷史命令將自動清空。
閒置600秒後自動註銷
vim ~/.bash_profile
export TMOUT=600
source /etc/profile

當界面60秒不用時自動退出bash

2、用戶切換與提權

一、su命令——切換用戶

命令用法：su - 目標用戶
密碼驗證：
root——》任意用戶，不嚴重密碼
普通用戶——》其餘用戶，驗證目標用戶密碼服務器

限制使用su命令的用戶

將容許使用su命令的用戶加入wheel組
啓用pam_wheel認證模塊
經常使用命令
將用戶加入wheel組
gpasswd -a lisi wheel
pam_wheel認證模塊命令模式
vim /etc/pam.d/su
查看su操做記錄
安全日誌文件： /var/log/securesession

su命令的安全隱患

默認狀況下，任何用戶都容許使用su命令,從而有機會反覆嘗試其餘用戶(如root) 的登陸密碼，帶來安全風險
爲了增強su命令的使用控制，能夠藉助於PAM認證模塊，只容許極個別用戶使用su命令進行切換ide

PAM認證

PAM(Pluggable Authentication Modules)可插拔式認證模塊, 它是一種高效並且靈活便利的用戶級別的認證方式，它也是當前Linux服務器廣泛使用的認證方式。

PAM認證通常遵循的順序: Service (服務) - →>PAM (配置文件) - →pam_ .* .So。

PAM認證首先要肯定哪一項服務，而後加載相應的PAM的配置文件(位於/etc/pam.d下)，最後調用認證文件(位於/lib/security下)進行安全認證。

用戶訪問服務器的時候，服務器的某-個服務程序把用戶的請求發送到PAM模塊進行認證。

不一樣的應用程序所對應的PAM模塊也是不一樣的。

PAM認證的構成

查看某個程序是否支持PAM認證，能夠用Is命令進行查看，例如查看su是否支持PAM模塊認證

Is /etc/pam.d | grep suui

查看su的PAM配置文件: cat /etc/pam.d/su

每一-行都是一-個獨立的認證過程
每一-行能夠區分爲三個字段
認證類型
控制類型
PAM模塊及其參數3d

PAM安全認證流程

PAM驗證流程圖

控制類型也能夠稱做Control Flags，用於PAM驗證類型的返回結果

1，required驗證失敗時任然繼續，但返回Fail。
2，required驗證失敗則當即結束整個驗證過程，返回Fail
3，sufficient驗證成功則當即返回，再也不繼續，不然忽略結果並繼續。
4，optional不用驗證，只顯示信息（一般用於session類型）
查看系統的安全配置

進入/etc/pam.d/su開啓pam_wheel_so模塊

將lisi添加到wheel組
日誌