账号安全基本措施
账号管理:
- 将用户设置无法登录
- 锁定账号
- 锁定配置文件
1、将用户设置无法登录
2、锁定账号
passwd -l 用户名:锁定用户密码
#锁定用户chen08的密码
#发现从lisi用户切换到chen08用户失败
passwd -u 用户名:解锁用户密码
#将用户chen08解除锁定
#解锁后可以正常切换chen08
3、锁定配置文件
chattr +i 文件名:不得任意更动文件或目录
chattr -i 文件名:解除锁定
密码安全控制
语法
chage [选项] 用户名
选项: -m:密码可更改的最小天数,为0表示任何时候都可以更改 -M:密码保持有效的最大天数 -w:用户密码到期前,提前收到警告信息的天数 -E:帐号到期的日期。过了这天,此帐号将不可用 -d:上一次更改的日期 -i:停滞时期。如果一个密码已过期这些天,那么此帐号将不可用 -l:例出当前的设置。由非特权用户来确定他们的密码或帐号何时过期
例如:
chage -d 0 lisi #强制李四下一次登录必须修改密码 chage -M 30 lisi #设置密码有效期30天
PAM安全认证
插件式的模块
常见功能:
用户名/密码验证功能
开发出一款软件,如果要用到用户名和密码的功能时,就会调pam模块中的密码模块
模块类型:
auth:账号的认证和授权——你的账号的权限
Password 用户修改密码时密码复杂度检查机制等功能
ession 用户会话期间的控制,如:最多打开的文件数,最多的进程数等
-type 表示因为缺失而不能加载的模块将不记录到系统日志,对于那些不总是安装在系统上的模块有用
control:控制位
required :一票否决,失败后继续验证,全部执行完在通知
requisite :一票否决,失败后立即通知
sufficient :一票通过,成功后立即通知
optional :不用于验证,只显示信息
实验
#查看shell下的路径,创建用户“zhangsan”指定路径为 /bin/csh
#给“zhangsan”创建一个密码
#编辑pam文件
#在auth前复制一行一样的内容
#将sufficient(一票通过)改成required(一票否决),将rootok改成shells。保存退出
#编辑shells文件,将/bin/csh删除
#切换到张三发现登录失败
#将文件恢复即可正常登录
limit:对资源的限制
语法:
ulimit [选项]
-H 设置硬件资源限制. -S 设置软件资源限制. -a 显示当前所有的资源限制. -c size:设置core文件的最大值.单位:blocks -d size:设置数据段的最大值.单位:kbytes -f size:设置创建文件的最大值.单位:blocks -l size:设置在内存中锁定进程的最大值.单位:kbytes -m size:设置可以使用的常驻内存的最大值.单位:kbytes -n size:设置内核可以同时打开的文件描述符的最大值.单位:n -p size:设置管道缓冲区的最大值.单位:kbytes -s size:设置堆栈的最大值.单位:kbytes -t size:设置CPU使用时间的最大上限.单位:seconds -u size:最大用户进程数 -v size:设置虚拟内存的最大值.单位:kbytes unlimited 是一个特殊值,用于表示不限制
#查看当前的资源限制
#临时对“open files”进行更改,将限制放宽到 20000
内核调优:打开文件数量、打开路由转发功能、可用内存空间
系统调优:关闭不必要的开机自启程序、将国外yum源改为国内清华、阿里等源、时间同步、内核调优、日志整理分割
sudo:超级管理员做
-
sudo能够授权指定用户在指定主机上运行某些命令。如果未授权用户尝试使用 sudo,会提示联系管理员
-
sudo提供了丰富的日志,详细地记录了每个用户干了什么。它能够将日志传到中心主机或者日志服务器
-
sudo使用时间戳文件来执行类似的“检票”系统。当用户调用sudo并且输入它的密码时,用户获得了一张存活期为5分钟的票
-
sudo的配置文件是sudoers文件,它允许系统管理员集中的管理用户的使用权限和使用的主机。它所存放的位置默认是在/etc/sudoers,属性必须为0440
#普通用户不能使用一些命令
#将普通用户加人到可以执行的组(让普通用户以超级管理员的身份运行)
#普通用户使用sudo命令即可使用
#设置sudo别名,就需要的用户添加到组,以减少使用root用户的次数
#配置前要记得备份该文件
标签:系统安全,最大值,sudo,用户,密码,设置,应用,size From: https://www.cnblogs.com/chenjw0608/p/17818181.html