首页 > 系统相关 >Linux 账号安全管理及应用

Linux 账号安全管理及应用

时间:2024-07-05 14:26:54浏览次数:15  
标签:sudo 命令 账号 用户 su etc 应用 Linux PAM

一、账号安全控制

1.系统账号清理

1.1 将非登录用户设置为无法登录

usermod -s  /etc/nologin  pkm          #将名为pkm 用户的shell设为/sbin/nologin

用户 pkm 将无法登录

1.2 锁定长期不使用的账号

usermod  -L      用户名              #锁定用户账号密码
usermod  -U      用户名              #解锁用户账号密码

passwd  -S       用户名              #查看用户账号状态

1.3 删除无用账号

userdel  -r        用户名              #删除用户    

1.4 锁定账号文件 /etc/passwd 与 /etc/shadow

chattr      +i        /etc/passwd            #锁住文件passwd

chattr      -i         /etc/passwd            #解锁文件passwd

lsattr        /etc/passwd                 #查看文件锁定状态

2.密码安全控制

2.1 密码安全有效期

2.1.1 创建新用户适用

  vim       /etc/login.defs                                      #在/etc/login.defs配置文件里设置

2.1.2 适用于已有用户

chage      选项       用户名              

设置账号过期日期

强制用户下次登陆修改密码

3. 历史记录限制

当我们使用history 命令时可以查看到历史使用命令,这非常的不安全

3.1 临时清除历史命令记录

history    -c                  #清除历史命令记录

3.2 登出时自动删除历史命令记录

1.vim   .bash_logout                          

2.rm  -f  $HOME/.bash_history 

3.3 设置历史命令条数

1. vim   /etc/profile

2. export   HISTSIZE= 设定的条数

3.4 设置终端自动注销

1. vim   /etc/profile

2. export   TMOUT=5

4. su 切换用户

4.1 su 命令

su - 目标用户                                        # 将使用目标用户登录Shell环境

su   目标用户                                        #不改变当前工作目录和环境变量设置,不完全切换

4.2禁止用户使用su命令

默认情况下,任何用户都允许使用 su 命令,从而有机会反复尝试其他用户(如 root) 的登录密码,这样带来了安全风险

将授权使用 su 命令 的用户添加到 wheel 组,修改/etc/pam.d/su 认证配置以启用 pam_wheel 认证

gpasswd    -a   用户名  组名         #将用户添加到组

解开#注释,将pkm加入wheel组之后就可以普通用户之间切换登录

二、PAM 模块认证

Linux-PAM,是linux可插拔认证模块,是一套可定制、 可动态加载的共享库,使本地系统管理员可以随意选择程序的认证方式

PAM使用/etc/pam.d/下的配置文件,来管理对程序的认证方式。应用程序调用相应的PAM配置文件,从而调用本地的认证模块,模块放置在/1ib64/security下,以加载动态库的形式进行认证。比如使用su命令时,系统会提示输入root用户的密码,这就是su命令通过调用PAM模块实现的

1. 查看某个程序是否支持 PAM 模块

ls  /etc/pam.d

2. PAM认证流程:

required: 表示需要返回一个成功值,如果返回失败,不会立刻将失败结果返回,而是继续进行同类型的下一验证,所有此类型的模块都执行完成后,再返回失败。

requisite: 与required类似,但如果此模块返回失败,则立刻返回失败并表示此类型失败。

sufficient: 如果此模块返回成功,则直接向程序返回成功,表示此类成功,如果失败,也不影响这类型的返回值。

optional: 不进行成功与否的返回,一般不用于验证,只是显示信息(通常用于session类型),
 

三、sudo 机制提升权限

普通用户想要使用某些命令但没有权限:

在/etc/sudoers 内进行sudo 设置

visudo   或    vim   /etc/sudoers

1. sudo 语法格式:

用户 主机名=命令程序列表
用户 主机名=(用户)命令程序列表

使用户jqg 在所有(ALL)主机都可使用useradd,userdel命令

创建用户cs:

删除用户cs:

2.多个用户或组设置别名

当使用相同授权的用户较多,或者授权的命令较多时,可以采用集中定义的别名。用户、 主机、命令部分都可以定义为别名(必须为大写)

分别通过关键字User_Alias、Host_Alias、Cmnd_Alias来进行设置
 

切换到cs 使用useradd命令 创建用户wjh

3.启用sudo操作日志
 

sudo日志记录可被管理员查看,在/etc/sudoers 文件中增加“Defaults logfile”设置

用户使用sudo命令 可在/var/log/sudo 查看到使用记录

四、限制更改GRUB 引导参数

通常情况下在系统开机进入GRUB菜单时,按e键可以查看并修改GRUB引导参数,这对服务器是一个极大的威胁
可以为GRUB菜单设置一个密码,只有提供正确的密码才被允许修改引导参数
 

grub2 - setpassword            #直接设置grub密码

在开机时按esc键,e键进行编辑

此时系统提示我们需要输入用户名和密码才能进入编辑:

标签:sudo,命令,账号,用户,su,etc,应用,Linux,PAM
From: https://blog.csdn.net/Jin_0612_/article/details/140104944

相关文章

  • Linux 文件系统以及日志管理
    一、inode与block1.inode与block详解在文件存储硬盘上,硬盘的最小存储单位叫做“扇区”,每个为512字节。操作系统读取硬盘的时候,不会一个个扇区地读取,这样效率太低,而是一次性连续读取多个扇区,即一次性读取一个"块"(block)。这种由多个扇区组成的"块",是文件存取的最小......
  • 详解Web应用安全系列(8)不足的日志记录和监控
    在Web安全领域,不足的日志记录和监控是一个重要的安全隐患,它可能导致攻击者能够更隐蔽地进行攻击,同时增加了攻击被检测和响应的难度。以下是对Web攻击中不足的日志记录和监控漏洞的详细介绍。一、日志记录不足的问题日志缺失或不完整关键操作未记录:如用户登录、敏感数据......
  • linux 服务器与本地文件传输
    相信有的小伙伴在刚开始接触linux时,不知道如何把文件上传到linux中,本文介绍两种方式供大家使用(推荐使用第二种)一.scp传输scpC:\\[email protected]/root/.....使用上述指令,即可实现将制定文件传输到服务器中,其中C…以及/root/…需要换成你自己的路径。165…........
  • Scikit-learn 十大高级应用实例讲解
    前言由于这学期的课程项目中都或多或少的涉及到了对PythonScikit-learn库的使用,特别是当学到一些机器学习和数据挖掘算法的内容时,基本都会出现Scikit-learn这个库。由于平时都是赶学习进度,一致都没有对这个库做个详细的了解,只知道这个库"很强大",但具体到底能用在那些......
  • Spring Boot应用启动慢的原因分析及优化方法
    在使用SpringBoot进行开发时,快速启动应用程序是一个非常重要的需求。然而,在某些情况下,我们会遇到SpringBoot应用启动缓慢的问题。本文将分析SpringBoot应用启动慢的常见原因,并提供一些优化方法,帮助你提升应用启动速度。一、SpringBoot应用启动慢的常见原因1.过多的自......
  • Linux(Centos7)安装Docker 社区(ce)版
    安装准备查看Linux系统版本是否为centos7cat/etc/os-release确保系统内核为3版本以上uname-a安装Docker如之前安装过请卸载yumremovedocker\docker-client\docker-client-latest\docker-common\......
  • Linux虚拟机配置杂项问题汇总
    下面提到的相关问题,大部分是基于Ubuntu系统进行操作的,因为CentOS在我目前实践中涉及较少。因此如无明确提及系统,均默认在Ubuntu、debian一类系统中操作。1、更新root密码:新创建的虚拟机有时没有设置root密码导致进入root权限麻烦,使用如下命令可以设置密码。sudopasswdroot2......
  • 中国软件评测中心最新报告:文心大模型技术、产品、应用全面领跑
    近日,工业和信息化部直属国家一级科研事业单位中国软件评测中心发布《人工智能大语言模型技术发展研究报告(2024年)》,总结梳理大语言模型技术能力进展和应用情况,肯定国产大模型的发展成果,为产业界选用大模型提供了权威参考。报告显示,文心大模型技术、产品、应用全面领先,在智能......
  • 金蝶云·苍穹追光者开发大赛,点燃高校AI应用创新之火
    在2024年的政府工作报告中,"人工智能+"行动被提出,标志着人工智能成为推动我国新质生产力发展的关键力量。与此同时,今年的高考作文有一道题目也聚焦于人工智能,再次凸显了这一领域的社会关注度和影响力。作为行业领军企业,金蝶早已预见这一新赛道的发展潜力,并于2023年率先发布......
  • Linux磁盘管理
    磁盘管理【1】、Linux常用的分区格式在新增磁盘后要对其进行分区,分区后才可以去存储数据MBR分区格式:比较古老的分区格式,只能划分4个主分区,如果四个分区划分完成后,硬盘空间还有剩余,那剩余的分区也不能够使用。后来新增加扩展分区(容器)功能,可在扩展分区内划分出更多的逻辑分......