账号安全与PAM（Linux部分）

账号安全与PAM（Linux部分）

账号安全与PAM

一、基本

Ⅰ、系统账号清理

将非登陆用户的Shell设为/sbin/nologin或者/bin/falsh usermod -s /sbin/nologin 用户名 锁定长期不使用的账号 usermod -L 用户名 #锁定用户账户 passwd -l 用户名 #锁定用户密码 passwd -S 用户名 #查看用户状态 删除无用的账号 userdel -r 用户名 #删除用户及其宿主目录 清空一个账号㊙马 passwd -d 用户名 #清空账户密码 锁定账号文件passwd、shadow chattr +i /etc/passwd /etc/shadow #锁定文件 lsattr /etc/passwd /etc/shadow #查看文件状态 chattr -i /etc/passwd /etc/shadow #解锁文件

Ⅱ、㊙马 安全控制

设置㊙马有效期 要求用户下次登录时修改㊙马

[root@localhost ~]# vi /etc/login.defs ...... #（修改㊙马配置文件适用于新建用户） PASS_MAX_DAYS 30 [root@localhost ~]# chage -M 30 lisi [root@localhost ~]# cat /etc/shadow | grep lisi

Ⅲ、命令历史限制

减少记录的命令条数 登录时自动清空命令历史

[root@localhost ~]# vi letc/profileexport HISTSIZE=200 [root@localhost ~]# source letc/profile [root@localhost ~]# vi ~l.bashrcecho "" >~l.bash_history

Ⅳ、终端自动注销：闲置600秒后自动注销

vi /etc/profile #编辑全局变量配置文件 export TMOUT=600 #输出timeout=600

二、使用su 命令切换用户

Ⅰ、用法

用途：Substitute User 切换用户

格式：su -用户目标

Ⅱ、密码验证：

root->任意用户，不验证密码 普通用户 -> 其他用户 ，验证目标用户的密码

[jerry@localhost ~]$ su-root #带-选项表示将使用目标用户的登陆Shell环境 口令： [root@localhost~]# whoami root

Ⅲ、限制使用 su 命令的用户

将允许使用 su 命令的用户加入wheel 组 启用pam_wheel 认证模块

[root@localhost~]#gpasswd -a test wheel tsengyia 正在将用户“tsengyia”加入到“wheel”组中

[root@localhost~]# viletc/pam.g/su #%PAM-1.0 auth sufficient pam_rootok.so auth required pam_wheel.so use_uid ......

以上两行是默认状态（即开启第一行，注释第二行)，这种状态下是允许所有用户间使用su命令进行切换的。 两行都注释也是运行所有用户都能使用su命令，但root下使用su切换到其他普通用户需要输入密码n如果第一行不注释，则root使用su切换普通用户就不需要输入密码(pam_rootok.so模块的主要作用是使uid为0的用户，即root用户能够直接通过认证而不用输入密码。) 如果开启第二行，表示只有root用户和wheel组内的用户才可以使用su命令。 如果注释第一行，开启第二行，表示只有wheel组内的用户才能使用su命令，root用户也被禁用su命令。

查看su操作记录： cat /var/log/secure

三、Linux中的PAM安全认证

Ⅰ、1.su 命令的安全隐患

默认情况下，任何用户都允许使用su命令，有机会反复尝试其他用户(如root)的登录密码，带来安全风险 为了加强su命令的使用控制，可借助于PAM认证模块，只允许极个别用户使用su命令进行切换

2.PAM可插拔式认证模块

是一种高效且灵活便利的用户级别的认证方式 也算是当前Linux服务器普遍使用的认证方式

Ⅱ、PAM认证原理

PAM认证一般遵循的顺序: Service(服务）--> PAM（配置文件）--> pam_*.so; PAM认证首先要确定哪一项应用服务，然后加载相应的PAM的配置文件(位于/etc/pam.d 下)，最后调用认证模块(位于/ lib64/ security/下)进行安全认证。 用户访问服务器的时候，服务器的某一个服务程序把用户的请求发送到PAw模块进行认证。不同的应用程序所对应的PAM模块也是不同的。 如果想查看某个程序是否支持 PAM认证，可以用ls命令进行查看/etc/pam.d/。PAM的配置文件中的每一行都是一个独立的认证过程，它们按从上往下的顺序依次由PAM模块调用

Ⅲ、构成

1.查看某个程序是否支持PAM认证，可以用ls命令

​ 示例:查看su是否支持PAM模块认证：

ls letc/pam.d / grep su

2.查看su的PAM配置文件: cat /etc/pam.d/su

每一行都是一个独立的认证过程 每一行可以区分为三个字段 ：认证类型、控制类型、PAM模块及其参数

第一列代表PAM认证模块

第二列代表PAM控制标记

第三列代表PAM模块，默认是在/lib64/security/目录下，如果不在此默认路径下，要填写绝对路径。

第四列代表PAM模块的参数，这个需要根据所使用的模块来添加

3.使用sudo机制提示权限

sudo命令的用途及用法

用途：以其他用户身份（如root）执行授权的命令 用法 sudo 授权命令 配置sudo授权 visudo或者vi /etc/sudoers（此文件的默认权限为440，保存退出时必须执行“：！”命令来强制操作） 记录格式 ：用户 主机名=命令程序列表 用户:直接授权指定的用户名，或采用"%组名"的形式(授权一个组的所有用户）。 主机名:使用此规则的主机名。没配置过主机名时可用localhost，有配过主机名则用实际的主机名，ALL则代表所有主 (用户):用户能够以何种身份来执行命令。此项可省略，缺省时以root用户的身份来运行命令 命令程序列表:允许授权的用户通过sudo方式执行的特权命令，需填写命令程序的完整路径，多个命令之间以逗号","进行分隔。A.则代表系统中的所有命令

[root@localhost ~]# visudo ...... %wheel ALL=NOPASSWD:ALL jerry localhost=/sbin/ifconfig syrianer localhost=/sbin/*,!/sbin/ifconfig,!/sbin/route Cmnd_Alias PKGTOOLS=/bin/rpm,/usr/bin/yum mike localhost=PKGTOOLS

查看sudo操作记录

第一步visudo进入配置文件 第二步添加默认日志文件 第三步查看（cat）

Ⅳ、开关机安全控制

1.调整BIOS引导设置

将第一引导设备设为当前系统所在硬盘 禁止从其他设备(光盘、U盘、网络)引导系统 将安全级别设为setup，并设置管理员密码

2.GRUB限制

使用grub2-mkpasswd-pbkdf2生成密钥 修改/etc/grub.d/00_header文件中，添加密码记录 生成新的grub.cfg配置文件

grub2-mkpasswd-pbkdf2 #根据提示设置GRUB菜单的密码 PBKDF2 hash of your password is grub.pbkdf2.... #省略部分内容经过加密生成的密码字符串 cp / boot/grub2/grub.cfg /boot/grub2lgrub.cfg. bak cp /etc/grub.d/00_header /etc/grub.d/00_header. bak vim /etc/grub.d/00_header cat <

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。