系统安全及应用

一、账号安全基本措施

1.1 系统账号清理

  • 将系统设置成无法登录
  • 锁定账户
  • 删除账户
  • 锁定账户密码

1.1.1 将系统设置成无法登录

[root@localhost ~ ] # tail /etc/passwd # 查看lisi的属性

[root@localhost ~ ] # chsh -s /sbin/nologin lisi # 修改lisi的shell属性

[root@localhost ~ ] # tail -1 /etc/passwd # 查看lisi的属性

1.1.2 锁定账户

[root@localhost ~ ] # passwd -l zhaosi 锁定用户zhaosi的密码

[root@localhost ~ ] # su zhangsan 切换用户为zhangsan

[zhangsan@localhost ~ ] # su zhaosi 鉴定故障zhaosi

[root@localhost ~ ] # passwd -u zhaosi 解锁用户zhaosi的密码

1.1.3 删除用户

格式:userdel -r 用户名

1.1.4 锁定配置文件

chattr

| 选项 | 功能 |
| -a | 追加文件或目录 |

-i 不得任意更改文件或目录

1.2 切换用户

格式:su [options...] [-] [user [args...]]

切换用户的方式:

su UserName:非登录式切换,即不会读取目标用户的配置文件,不改变当前工作目录,即不完全切换

su - UserName:登录式切换,会读取目标用户的配置文件,切换至自已的家目录,即完全切换

说明:root切换至其他用户无须密码;非root用户切换时需要密码

su和su - 的区别

su - 这个选项切换的更加彻底;而su这个选项只能切换一部分

限制使用su命令的用户

a)以上两行是默认状态(即开启第一行,注释第二行),这种状态下是允许所有用户间使用su命令进行切换的。

b)两行都注释也是允许所有用户都能使用su命令,但root'下使用su切换到其他普通用户需要输入密码;如果第一行不注释,则root使用su切换普通用户就不需要输入密码(pam rootok. so模块的主要作用是使uid为0的用户,即root用户能够直接通过认证而不用输入密码。)

c)如果开启第二行,表示只有root用户和wheel组内的用户才可以使用su命令

d)如果注释第一行,开启第二行,表示只有whee1组内的用户才能使用su命令,root用户也被禁用su命令。

1.3 PAM安全认证

PAM提供了对所有服务进行认证的中央机制,适用于本地登录,远程登录。

[root@localhost ~ ] # rpm -qi pam 查看当前系统pam

[root@localhost ~ ] # rpm -ql pam 查看当前模块

1.3.1 PAM相关文件
  • 包名: pam
  • 模块文件目录:/lib64/security/*.so
  • 特定模块相关的设置文件:/etc/security/
  • man 8 + 模块名 可以查看帮助
  • 应用程序调用PAM模块的配置文件
  1. 主配置文件:/etc/pam.conf,默认不存在,一般不使用主配置

  2. 为每种应用模块提供一个专用的配置文件:/etc/pam.d/APP_NAME

  3. 注意:如/etc/pam.d存在,/etc/pam.conf将失效

1.3.2 PAM工作原理

PAM认证的顺序:Service(服务)→PAM(配置文件)→pam_*.so

1.3.3 专门配置文件/etc/pam.d/格式

格式:type control module-path arguments

type:指模块类型

control :PAM库该如何处理与该服务相关的PAM模块的成功或失败情况,一个关键词实现

module-path: 用来指明本模块对应的程序文件的路径名

Arguments: 用来传递给该模块的参数

模块类型

Auth 账号的认证和授权

  • Account 帐户的有效性,与账号管理相关的非认证类的功能
  • Password 用户修改密码时密码复杂度检查机制等功能
  • Session 用户会话期间的控制

Control

required 一票否决 如果失败,一定失败,但是会继续运行验证

requisite 一票否决 如果失败会立即结束验证,同时反馈失败

sufficient 验证成功则立即返回,暴露再继续,否则忽略结果并继续

第三列代表PAM模块

认是在/lib64/security/目录下,如果不在此默认路径下,要填写绝对路径。

每一行可以区分为三个字段: 认证类型 控制类型 PAM 模块及其参数

PAM 认证类型包括四种:

  1. 认证管理
  2. 账户管理
  3. 密码管理
  4. 会话管理
1.3.4 Shell模块

作用:规定检查shell,pam_shells 只允许 规定的shell类型通过,而且它是在/etc/shells 文件中存在的。

命令:man pam_shells。

1.3.5 pam_nologin.so模块

如果/etc/nologin文件存在,将导致非root用户不能登陆,当该用户登陆时,会显示/etc/nologin文件内容,并拒绝登陆。

此模块对ssh登录有效,但不影响su登录

1.3.6 limit

在用户级别实现对其可使用的资源的限制。

| 选项 | 功能 |
| -H | 设置硬件资源,一旦设置无法添加 |
| -S | 设置软件资源,可以添加但不能超过硬件资源 |
| -a | 显示当前所有的limit信息 |
| -c | 最大的core文件大小,单位为blocks |
| -d | 进程最大的数据段,单位为Kbytes |
| -f | 最大创建的文件量,单位为blocks |
| -l | 最大可枷锁内存的大小,单位为Kbytes |
| -m | 最大内存,单位为Kbytes |
| -n | 最大文件描述符数量 |
| -p | 管道缓冲区大小,单位为Kbytes |
| -s | 线程栈大小,单位为Kbytes |
| -t | 最大CPU占用时间,单位为秒 |
| -u | 用户最大可用进程数 |

-v 进程可用最大的虚拟内存,单位为Kbytes

1.4 sudo

允许系统管理员让普通用户执行一些或者全部的root命令的一个工具,udo使一般用户不需要知道超级用户的密码即可获得权限。

配置文件格式说明:/etc/sudoers,/etc/sudoers.d/

1.4.1 别名

sudo别名有四种类型:

User_Alias(用户)

Runas_Alias(代表用户)

Host_Alias(登录主机)

Cmnd_Alias(命令)

注意:别名格式必须大写字母,数字可以使用但是不能放在开头

相关推荐
weixin_442643421 小时前
推荐FileLink数据跨网摆渡系统 — 安全、高效的数据传输解决方案
服务器·网络·安全·filelink数据摆渡系统
星尘安全1 小时前
安全工程师入侵加密货币交易所获罪
安全·区块链·漏洞·加密货币
newxtc3 小时前
【支付行业-支付系统架构及总结】
安全·支付宝·第三方支付·风控系统·财付通
newxtc4 小时前
【旷视科技-注册/登录安全分析报告】
人工智能·科技·安全·ddddocr
成都古河云4 小时前
智慧场馆:安全、节能与智能化管理的未来
大数据·运维·人工智能·安全·智慧城市
Gworg4 小时前
您与此网站之间建立的连接不安全解决方法
安全
ac-er88885 小时前
MySQL如何实现PHP输入安全
mysql·安全·php
jjyangyou8 小时前
物联网核心安全系列——物联网安全需求
物联网·算法·安全·嵌入式·产品经理·硬件·产品设计
AltmanChan9 小时前
大语言模型安全威胁
人工智能·安全·语言模型
马船长9 小时前
红帆OA iorepsavexml.aspx文件上传漏洞
安全