CentOS 7 Linux经常使用命令(10)系统安全及应运(1)帐号安全控制
1、帐号安全措施
一、系统帐号清理
将非登陆用户的Shell设为/sbin/nologin
锁定长期不使用的帐户
删除无用的帐号
锁定帐号文件passwd、shadow
经常使用命令有
查看当前状态:lsattr /etc/passwd /etc/shadow
锁定文件:chattr +i /etc/passwd /etc/shadow
解锁文件:chattr -i /etc/passwd /etc/shadow
vim
二、密码安全控制
设置密码有效期
要求用户下次登陆时修改密码
经常使用命令
适用于新建用户:
进入vim /etc/login.defs
PASS_MAX_DAYS 30
适用于已有用户:
chage -M 30 lisi
强制在下次登陆时更改密码:
chage -d 0 zhangsan
这条命令执行后,再次登陆时,密码必须大于8位,并且不能为连续的字母或数字。
建立zhaoliu用户并设置密码
查看zhaoliu的密码状态
将;lisi用户设为下次登陆修改密码,让wangwu帐户的密码时限改成30天
查看lisi和wangwu的密码状态安全
三、命令历史、自动注销
减小记录的命令条数
vim /etc/profile
HISTSIZE=20
source /etc/profile
注销时自动清除命令历史
vim ~/.bash_logout
history -c
clear
完成上述配置后当用户退出登陆的bash环境后,所记录的历史命令将自动清空。
闲置600秒 后自动注销
vim ~/.bash_profile
export TMOUT=600
source /etc/profile
当界面60秒不用时自动退出bash
2、用户切换与提权
一、su命令——切换用户
命令用法:su - 目标用户
密码验证:
root——》任意用户,不严重密码
普通用户——》其余用户,验证目标用户密码服务器
限制使用su命令的用户
将容许使用su命令的用户加入wheel组
启用pam_wheel认证模块
经常使用命令
将用户加入wheel组
gpasswd -a lisi wheel
pam_wheel认证模块命令模式
vim /etc/pam.d/su
查看su操做记录
安全日志文件: /var/log/securesession
su命令的安全隐患
默认状况下,任何用户都容许使用su命令,从而有机会反复尝试其余用户(如root) 的登陆密码,带来安全风险
为了增强su命令的使用控制,能够借助于PAM认证模块,只容许极个别用户使用su命令进行切换ide
PAM认证
PAM(Pluggable Authentication Modules)可插拔式认证模块, 它是一种高效并且灵活便利的用户级别的认证方式,它也是当前Linux服务器广泛使用的认证方式。
PAM认证通常遵循的顺序: Service (服务) - →>PAM (配置文件) - →pam_ .* .So。
PAM认证首先要肯定哪一项服务,而后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib/security下)进行安全认证。
用户访问服务器的时候,服务器的某-个服务程序把用 户的请求发送到PAM模块进行认证。
不一样的应用程序所对应的PAM模块也是不一样的。
PAM认证的构成
查看某个程序是否支持PAM认证,能够用Is命令进行查看,例如查看su是否支持PAM模块认证
Is /etc/pam.d | grep suui
查看su的PAM配置文件: cat /etc/pam.d/su
每一-行都是一-个独立的认证过程
每一-行能够区分为三个字段
认证类型
控制类型
PAM模块及其参数3d
PAM安全认证流程
PAM验证流程图
控制类型也能够称做Control Flags,用于PAM验证类型的返回结果
1,required验证失败时任然继续,但返回Fail。
2,required验证失败则当即结束整个验证过程,返回Fail
3,sufficient验证成功则当即返回,再也不继续,不然忽略结果并继续。
4,optional不用验证,只显示信息(一般用于session类型)
查看系统的安全配置
进入/etc/pam.d/su开启pam_wheel_so模块
将lisi添加到wheel组日志
二、使用sudo机制提高权限
sudo命令的用法机用途
用途:以其余用户身份执行受权的命令
用法:sudo 受权命令blog
配置sudo受权
visudo 或者vim /etc/sudoers
记录格式:用户 主机名列表= 命令程序列表
经常使用的类别名有:/bin/rpm、/usr/bin/yum、User_Ailas、Host_Ailas
查看sudo操做记录
需启用Defaults logfile配置
默认日志文件:/var/log/sudo
- 1. CentOS 7 经常使用命令大全
- 2. 实验题·系统安全及应用(su命令,sudo命令、密码安全控制、终端自动注销)
- 3. 理论篇·系统安全及应用(su命令,sudo命令、密码安全控制、终端自动注销)
- 4. 实验 1 Linux 系统的安装和经常使用命令
- 5. linux 系统安全以及应用
- 6. 系统安全及应用
- 7. Linux——系统安全及应用(系统账号清理-终端控制-系统弱口令检测)
- 8. 安全运维之:Linux系统帐户和登陆安全
- 9. Linux/Centos经常使用监控命令
- 10. centOS帐户安全控制(二)
- 更多相关文章...
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • Docker 命令大全 - Docker教程
- • Composer 安装与使用
- • Docker 清理命令
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 融合阿里云,牛客助您找到心仪好工作
- 2. 解决jdbc(jdbctemplate)在测试类时不报错在TomCatb部署后报错
- 3. 解决PyCharm GoLand IntelliJ 等 JetBrains 系列 IDE无法输入中文
- 4. vue+ant design中关于图片请求不显示的问题。
- 5. insufficient memory && Native memory allocation (malloc) failed
- 6. 解决IDEA用Maven创建的Web工程不能创建Java Class文件的问题
- 7. [已解决] Error: Cannot download ‘https://start.spring.io/starter.zip?
- 8. 在idea让java文件夹正常使用
- 9. Eclipse启动提示“subversive connector discovery”
- 10. 帅某-技巧-快速转帖博主文章(article_content)