一、账号安全基本措施
1.1 系统账号清理
- 将系统设置成无法登录
- 锁定账户
- 删除账户
- 锁定账户密码
1.1.1 将系统设置成无法登录
root@localhost \~ \] # tail /etc/passwd # 查看lisi的属性 \[root@localhost \~ \] # chsh -s /sbin/nologin lisi # 修改lisi的shell属性 \[root@localhost \~ \] # tail -1 /etc/passwd # 查看lisi的属性
1.1.2 锁定账户
root@localhost \~ \] # passwd -l zhaosi 锁定用户zhaosi的密码 \[root@localhost \~ \] # su zhangsan 切换用户为zhangsan \[zhangsan@localhost \~ \] # su zhaosi 鉴定故障zhaosi \[root@localhost \~ \] # passwd -u zhaosi 解锁用户zhaosi的密码
1.1.3 删除用户
格式:userdel -r 用户名
1.1.4 锁定配置文件
chattr
| 选项 | 功能 |
| -a | 追加文件或目录 |
| -i | 不得任意更改文件或目录 |
|---|
1.2 切换用户
格式:su [options...] [-] [user [args...]]
切换用户的方式:
su UserName:非登录式切换,即不会读取目标用户的配置文件,不改变当前工作目录,即不完全切换
su - UserName:登录式切换,会读取目标用户的配置文件,切换至自已的家目录,即完全切换
说明:root切换至其他用户无须密码;非root用户切换时需要密码
su和su - 的区别
su - 这个选项切换的更加彻底;而su这个选项只能切换一部分
限制使用su命令的用户
a)以上两行是默认状态(即开启第一行,注释第二行),这种状态下是允许所有用户间使用su命令进行切换的。
b)两行都注释也是允许所有用户都能使用su命令,但root'下使用su切换到其他普通用户需要输入密码;如果第一行不注释,则root使用su切换普通用户就不需要输入密码(pam rootok. so模块的主要作用是使uid为0的用户,即root用户能够直接通过认证而不用输入密码。)
c)如果开启第二行,表示只有root用户和wheel组内的用户才可以使用su命令
d)如果注释第一行,开启第二行,表示只有whee1组内的用户才能使用su命令,root用户也被禁用su命令。
1.3 PAM安全认证
PAM提供了对所有服务进行认证的中央机制,适用于本地登录,远程登录。
[root@localhost ~ ] # rpm -qi pam 查看当前系统pam
[root@localhost ~ ] # rpm -ql pam 查看当前模块
1.3.1 PAM相关文件
- 包名: pam
- 模块文件目录:/lib64/security/*.so
- 特定模块相关的设置文件:/etc/security/
- man 8 + 模块名 可以查看帮助
- 应用程序调用PAM模块的配置文件
-
主配置文件:/etc/pam.conf,默认不存在,一般不使用主配置
-
为每种应用模块提供一个专用的配置文件:/etc/pam.d/APP_NAME
-
注意:如/etc/pam.d存在,/etc/pam.conf将失效
1.3.2 PAM工作原理
PAM认证的顺序:Service(服务)→PAM(配置文件)→pam_*.so
1.3.3 专门配置文件/etc/pam.d/格式
格式:type control module-path arguments
type:指模块类型
control :PAM库该如何处理与该服务相关的PAM模块的成功或失败情况,一个关键词实现
module-path: 用来指明本模块对应的程序文件的路径名
Arguments: 用来传递给该模块的参数
模块类型
Auth 账号的认证和授权
- Account 帐户的有效性,与账号管理相关的非认证类的功能
- Password 用户修改密码时密码复杂度检查机制等功能
- Session 用户会话期间的控制
Control
required 一票否决 如果失败,一定失败,但是会继续运行验证
requisite 一票否决 如果失败会立即结束验证,同时反馈失败
sufficient 验证成功则立即返回,暴露再继续,否则忽略结果并继续
第三列代表PAM模块
默认是在/lib64/security/目录下,如果不在此默认路径下,要填写绝对路径。
每一行可以区分为三个字段: 认证类型 控制类型 PAM 模块及其参数
PAM 认证类型包括四种:
- 认证管理
- 账户管理
- 密码管理
- 会话管理
1.3.4 Shell模块
作用:规定检查shell,pam_shells 只允许 规定的shell类型通过,而且它是在/etc/shells 文件中存在的。
命令:man pam_shells。
1.3.5 pam_nologin.so模块
如果/etc/nologin文件存在,将导致非root用户不能登陆,当该用户登陆时,会显示/etc/nologin文件内容,并拒绝登陆。
此模块对ssh登录有效,但不影响su登录
1.3.6 limit
在用户级别实现对其可使用的资源的限制。
| 选项 | 功能 |
| -H | 设置硬件资源,一旦设置无法添加 |
| -S | 设置软件资源,可以添加但不能超过硬件资源 |
| -a | 显示当前所有的limit信息 |
| -c | 最大的core文件大小,单位为blocks |
| -d | 进程最大的数据段,单位为Kbytes |
| -f | 最大创建的文件量,单位为blocks |
| -l | 最大可枷锁内存的大小,单位为Kbytes |
| -m | 最大内存,单位为Kbytes |
| -n | 最大文件描述符数量 |
| -p | 管道缓冲区大小,单位为Kbytes |
| -s | 线程栈大小,单位为Kbytes |
| -t | 最大CPU占用时间,单位为秒 |
| -u | 用户最大可用进程数 |
| -v | 进程可用最大的虚拟内存,单位为Kbytes |
|---|
1.4 sudo
允许系统管理员让普通用户执行一些或者全部的root命令的一个工具,udo使一般用户不需要知道超级用户的密码即可获得权限。
配置文件格式说明:/etc/sudoers,/etc/sudoers.d/
1.4.1 别名
sudo别名有四种类型:
User_Alias(用户)
Runas_Alias(代表用户)
Host_Alias(登录主机)
Cmnd_Alias(命令)
注意:别名格式必须大写字母,数字可以使用但是不能放在开头