一、用户账号安全管理
1.1 系统账号的清理
将不需要登录用户的登录shell设置为/sbin/nologin
1.2 对用户账号的操作
1.2.1锁定和解锁用户
1.2.2 删除无用账号
1.3 对重要文件进行锁定
1.4 密码安全控制
1.4.1 新建用户
在 /etc/login.defs文件中修改新建用户配置
在地25行,可改变密码有效期,只对新建用户有效
1.4.2 已有用户
二、历史管理命令
2.1 历史命令限制
2.2 自动情空历史命令
三、设置终端登录的安全管理
3.1 设置终端登录超时
vim /etc/profile ,键入行 即TMOUNT=600 ,默认10分钟无操作,终端自动断开。
3.2 禁止普通用户登录
root用户,touch /etc/nologin,可禁止普通用户登录
root用户,rm -rf /etc/nologin,恢复普通用户登录
四、对用户切换进行限制
4.1 su命令
su 用户名 :在终端中切换已知密码的用户,root用户切换到普通用户默认不需要密码,普通用户发起的切换需要目标账户的密码,su切换用户不会改变环境变量,用的还是之前的用户shell,是不完全切换。
su -用户名:登录式切换,读取目标用户的配置文件,切换到家目录,如果在root用户下,su 相当于刷新,如果是普通用户,就是切换回root。
4.2 限制普通用户使用su
4.2.1 wheel组
wheel组:wheel组,这个在组文件中查不到,属于特殊组,用来控制系统管理员的权限,、转为管理员服务
如果普通用户加入到whell 组,就能拥有管理员才能执行的一些权限,需要用sudo命令执行wheel组的特殊权限。
解除注释 ,保存退出后,可以发现除了wheel组用户和root用户,其他用户都不能切换用户。wheel组默认是空的,没有任何成员,需要管理员账号手动添加。
将用户添加到wheel组,用户即可获得切换用户的权限。
wheel组的权限很大,配置的时候要以最小权限原则来进行配置。
4.2.2 PAM的认证类型
PAM安全认证:Linux系统身份认证的一个架构,提供了一种标准的身份认证的接口,允许管理员定制化的管理认证方式方法。
PAM认证是一个可插拔式的模块,所谓可插拔,是应为是 PAM认证的配置文件里,启用和停用只修改相应的命令行开头的符号#即可。
PAM的认证类型
认证模块:验证用户的身份,基于密码的认证。
模块授权:控制用户对系统资源的访问,文件访问,进程权限等。
账户管理模块:管理用户账户信息,密码过期策略,账户锁定策略等。
会话管理模块:管理用户回话,注销用户等。
PAM安全认证流程图如下
五、授权管理
5.1 sudo命令 ,相当于给普通用户赋权,配置sudo需要对/etc/sudoers/进行编辑,进入配置,注释掉图中两行
再到100行,下行插入
为 test2用户赋权可以调用passwd命令,命令前加NOPASSWD可免密码sudo
test2用户使用授权命令
test2可以给所有用户设置密码(包括root),这种行为很危险,所以sudo的配置一般仅给与需要的最小权限。
5.2 使用别名批量设置普通用户权限
在 /etc/sudoers文件里编辑
命令授权部分,定义了主机localhost,开放给test1和test2这两个用户/sbin下面的所有命令,(*表示全部),除了(!表示取反,即不给权限)重启,关机,改变运行级别和删除。
六、6.1 开关机安全机制
grub2 -setpasswd:给grub菜单设置密码,要修改菜单需要此密码
6.2 弱口令扫描工具 ,即检测过于简单的密码
