一、账号安全 1、系统账号清理
将非登录用户的shell设为/sbin/nologin
锁定长期不使用的账号
删除无用的账号
锁定账号文件
1.1将用户的shell设为/sbin/nologin
文章图片
1.2锁定长期不使用的账号 usermod命令
文章图片
passwd命令
文章图片
1.3删除无用账号
文章图片
1.4锁定账号文件passwd、shadow
文章图片
2.密码安全控制
- 设置密码有效期
- 要求用户下次登录修改密码
可以通过chage -M [指定天数] [目标用户](适用于已有用户)
也可以通过vi /etc/login.defs进去登录文本文件查询修改(适用于新建用户)
文章图片
强制在下次登录时更改密码:chage -d 0 zhangsan
3.历史命令限制 3.1减少记录的命令条数
想要减少历史记录的命令条数,我们可以先进入/etc/profile环境变量配置文件中进行设置,保存退出后将其设置为生效,命令为:source /etc/profile或直接重启
history查看历史命令
进入到/etc/profile配置文件
vim /etc/profile
source使更改的配置文件生效,并history查看历史命令,可以看到历史命令只保留了10条
文章图片
3.2注销时自动清空历史命令
文章图片
4.终端自动注销 闲置600秒后自动注销
文章图片
文章图片
二、限制su命令用户 默认情况下,任何用户都允许使用su命令,从而有机会反复尝试其他用户的登陆密码,这样带来了安全风险。为了加强su命令的使用控制,可以借助于pam_wheel认证模块,只允许个别用户使用su命令进行切换。
可以在/etc/pam.d/su文件里设置禁止用户使用su命令
文章图片
2#auth sufficient pam_rootok.so1.以上两行是默认状态(即开启第一行,注释第二行),这种状态下是允许所有用户间使用su命令进行切换的。
6#auth required pam_wheel.so use_uid
2.两行都注释也是运行所有用户都能使用su命令,但root’下使用su切换到其他普通用户需要输入密码; 如果第一行不注释,则root使用su切换普通用户就不需要输入密码(pam rootok. so模块的主要作用是使uid为0的用户,即root用户能够直接通过认证而不用输入密码。)
3.如果开启第二行,表示只有root用户和wheel组内的用户才可以使用su命令
4.如果注释第一行,开启第二行,表示只有whee1组内的用户才能使用su命令,root用户也被禁用su命令。
三、PAM安全认证 PAM是Linux可插拔认证模块,是一套可定制、可动态加载的共享库,使本地系统管理员可以随意选择程序的认证方式,是一种高效而且灵活便利的用户级别的认证方式,也是当前Linux服务器普遍使用的认证方式。
PAM认证原理
PAM认证一般遵循的顺序:Service(服务)–PAM(配置文件)–pam_*.so
PAM认证首先要确定哪一项应用服务,然后加载响应的PAM的配置文件(位于/etc/pam.d下),最后调用认证模块(位于/lib64/security/下)进行安全认证
用户访问服务器的时候,服务器的某一个服务程序吧用户的请求发送到PAM模块进行认证,不同的应用程序所对应的PAM模块也是不同的。
如果想查看某个程序是否支持PAM认证,可以用ls命令进行查看/etc/pam.d/
PAM的配置文件中每一行都是一个独立的认证过程,它们按从上往下的顺序依次由PAM模块调用
文章图片
第一列代表PAM认证模块的类型
auth:对用户身份仅从识别
account:对账号各项属性进行检查
password:使用用户信息来更新数据
session:定义登陆前以及推出后所要进行的会话操作管理
第二列代表PAM控制标记
required:表示需要返回一个成功值,如果返回失败,不会立刻将失败结果返回,而是继续进行同类型的下一验证,所有此类型的模块都执行完成后,再返回失败。
requisite:与required类似,但如果此模块返回失败,则立刻返回失败并表示此类型失败。
sufficient:如果此模块返回成功,则直接向程序返回成功,表示此类成功,如果失败,也不影响这类型的返回值。
optional: 不进行成功与否的返回,一般不用于验证,只是显示信息(通常用于session类型),
include:表示在验证过程中调用其他的PAM配置文件。比如很多应用通过完整调用/etc/pam.d/system-auth(主要负责用户登录系统的认证工作)来实现认证而不需要重新逐一去写配置项。
第三列代表PAM模块
默认是在/lib64/security/目录下,如果不在此默认路径下,要填写绝对路径。同一个模块,可以出现在不同的模块类型中,它在不同的类型中所执行的操作都不相同,这是由于每个模块针对不同的模块类型编制了不同的执行函数。
第四列代表PAM模块的参数
这个需要根据所使用的模块来添加。传递给模块的参数。参数可以有多个,之间用空格分隔开
每一行都是一个独立的认证过程
每一行可以区分为三个字段:认证类型、控制类型、PAM模块及其参数
PAM 认证类型包括四种:
认证管理(authentication management):接受用户名和密码,进而对该用户的密码进行认证;
帐户管理(account management):检查帐户是否被允许登录系统,帐号是否已经过期,帐号的登录是否有时间段的限制等;
密码管理(password management):主要是用来修改用户的密码;
会话管理(session management):主要是提供对会话的管理和记账。 控制类型也可以称做 Control Flags,用于 PAM 验证类型的返回结果。
1.required验证失败时仍然继续,但返回 Fail
2.requisite验证失败则立即结束整个验证过程,返回 Fail
3.sufficient验证成功则立即返回,不再继续,否则忽略结果并继续
4.optional不用于验证,只是显示信息(通常用于 session 类型)
四、sudo机制提升权限 sudo机制介绍
通过su命令可以非常方便地切换为另一个用户,但前提条件使必须知道目标用户地登录密码。但是每多一个人知道特权密码,其安全风险也就增加一分。所以就会使用sudo命令来提升用户地执行权限,需要由管理员预先进行授权,指定允许哪些用户以超级用户(或其他普通用户)的身份来执行哪些命令。
sudo的配置文件/etc/sudoers文件默认权限为440,需使用专门的visudo工具进行编辑。
也可以用vi进行编辑,但保存时必须执行":w!"命令来强制操作,否则系统将提示为只读文件而拒绝保存。
语法格式
用户 主机名=命令程序列表
用户 主机名=(用户) 命令程序列表
1、用户:直接授权指定的用户名,或采用“%组名”的形式(授权一个组的所有用户)。
2、主机名:使用此规则的主机名。没配置过主机名时可用localhost,有配过主机名则用实际的主机名,ALL则代表所有主机
3、(用户):用户能够以何种身份来执行命令。此项可省略,缺省时以root用户的身份来运行命令
4、命令程序列表:允许授权的用户通过sudo方式执行的特权命令,需填写命令程序的完整路径,多个命令之间以逗号“,”进行分隔。
ALL则代表系统中的所有命令
【服务器|Linux系统安全及应用】sudo [选项] 命令
-l:列出在主机上可用的和被禁止的命令;一般配置好/etc/sudoers后,要用这个命令来查看和测试是不是配置正确的;
-v:验证用户的时间戳;如果用户运行sudo后,输入用户的密码后,在短时间内可以不输入口令来执行sudo操作,用-v可以跟踪最新的时间戳
-u 指定以以某个用户执行特定操作
-k 删除时间戳,下一个sudo 命令要求用求提供密码
推荐阅读
- 数据库|手工编译安装LNMP
- http|web和http协议
- Linux|Linux实操篇-定时任务调度
- Java内存模型Memory Model
- 从一个栈引出的内存泄露问题
- java|Redis未授权访问的三种利用方式
- java|springboot+nodejs+Vue影视作品网站java
- java|Java计算机毕业设计停车场信息管理系统源码+系统+数据库+lw文档
- #|项目登录页面框架