系统安全及应用

2024-01-08 06:23:04

一、账号安全基本措施

? 1.1 系统账号清理

  • ? ? 将系统设置成无法登录
  • ? ? 锁定账户
  • ? ? 删除账户
  • ? ? 锁定账户密码

? 1.1.1 将系统设置成无法登录

? ? [root@localhost ~?] #? ? tail /etc/passwd? ? ? ? ? ? ? ? ? ? ? ?#? 查看lisi的属性

? ? [root@localhost ~?] #? ? chsh -s /sbin/nologin lisi? ? ? ? ?#? ?修改lisi的shell属性

? ??[root@localhost ~?] #? ? tail -1 /etc/passwd? ? ? ? ? ? ? ? ? #? ?查看lisi的属性

? 1.1.2 锁定账户?

? ??[root@localhost ~?] #? ? passwd -l zhaosi? ? ? ? ? ? ? ? 锁定用户zhaosi的密码

? ??[root@localhost ~?] #? ? su zhangsan? ? ? ? ? ? ? ? ? ? ? ?切换用户为zhangsan

? ??[zhangsan@localhost ~?] #? ? su zhaosi? ? ? ? ? ? ? ? ? ?鉴定故障zhaosi

? ??[root@localhost ~?] #? ? passwd -u zhaosi? ? ? ? ? ? ? ?解锁用户zhaosi的密码

? 1.1.3 删除用户

? ? ?格式:userdel -r 用户名

? 1.1.4 锁定配置文件

? ? chattr

选项功能
-a追加文件或目录
-i不得任意更改文件或目录

??

? 1.2 切换用户

? ? 格式:su [options...] [-] [user [args...]]

? ? 切换用户的方式:

? ? ? su UserName:非登录式切换,即不会读取目标用户的配置文件,不改变当前工作目录,即不完全切换

? ? ? su - UserName:登录式切换,会读取目标用户的配置文件,切换至自已的家目录,即完全切换

? ? 说明:root切换至其他用户无须密码;非root用户切换时需要密码

? ? su和su - 的区别

? ? ? su - 这个选项切换的更加彻底;而su这个选项只能切换一部分

? ? 限制使用su命令的用户

?a)以上两行是默认状态(即开启第一行,注释第二行),这种状态下是允许所有用户间使用su命令进行切换的。
b)两行都注释也是允许所有用户都能使用su命令,但root'下使用su切换到其他普通用户需要输入密码;如果第一行不注释,则root使用su切换普通用户就不需要输入密码(pam rootok. so模块的主要作用是使uid为0的用户,即root用户能够直接通过认证而不用输入密码。)
c)如果开启第二行,表示只有root用户和wheel组内的用户才可以使用su命令
d)如果注释第一行,开启第二行,表示只有whee1组内的用户才能使用su命令,root用户也被禁用su命令。

? 1.3 PAM安全认证

? ??PAM提供了对所有服务进行认证的中央机制,适用于本地登录,远程登录。

? ? ?[root@localhost ~ ] #? ? rpm -qi pam? ? ? ? 查看当前系统pam

? ? ?[root@localhost ~ ] #? ? rpm -ql?pam? ? ? ? 查看当前模块

? ?1.3.1 PAM相关文件
  • ? ? ? 包名: pam
  • ? ? ? 模块文件目录:/lib64/security/*.so
  • ? ? ? 特定模块相关的设置文件:/etc/security/
  • ? ? ? man 8 + 模块名 可以查看帮助
  • ? ? ? 应用程序调用PAM模块的配置文件
  1. 主配置文件:/etc/pam.conf,默认不存在,一般不使用主配置

  2. 为每种应用模块提供一个专用的配置文件:/etc/pam.d/APP_NAME

  3. 注意:如/etc/pam.d存在,/etc/pam.conf将失效

? 1.3.2 PAM工作原理

? ??PAM认证的顺序:Service(服务)→PAM(配置文件)→pam_*.so

? 1.3.3 专门配置文件/etc/pam.d/格式

? ? 格式:type? ? ? ? control? ? ? ? module-path? ? ? ? arguments

? ? ?type:指模块类型

? ? ?control :PAM库该如何处理与该服务相关的PAM模块的成功或失败情况,一个关键词实现

? ? ?module-path: 用来指明本模块对应的程序文件的路径名

? ? ?Arguments: 用来传递给该模块的参数

? ?模块类型

? ? ??Auth 账号的认证和授权

  • ? ? ??Account 帐户的有效性,与账号管理相关的非认证类的功能
  • ? ? ??Password 用户修改密码时密码复杂度检查机制等功能
  • ? ? ??Session 用户会话期间的控制

? Control

? ? required 一票否决 如果失败,一定失败,但是会继续运行验证

? ? requisite 一票否决 如果失败会立即结束验证,同时反馈失败

? ? sufficient 验证成功则立即返回,暴露再继续,否则忽略结果并继续

? 第三列代表PAM模块

? ? 默认是在/lib64/security/目录下,如果不在此默认路径下,要填写绝对路径。

? ??每一行可以区分为三个字段: 认证类型 控制类型 PAM 模块及其参数

? ??PAM 认证类型包括四种:

  1. ? ? ? 认证管理
  2. ? ? ? 账户管理
  3. ? ? ? 密码管理
  4. ? ? ? 会话管理

? 1.3.4 Shell模块

? ? 作用:规定检查shell,pam_shells 只允许 规定的shell类型通过,而且它是在/etc/shells 文件中存在的。

? ? 命令:man pam_shells。

? ?1.3.5 pam_nologin.so模块

? ? ??如果/etc/nologin文件存在,将导致非root用户不能登陆,当该用户登陆时,会显示/etc/nologin文件内容,并拒绝登陆。

? ? ? 此模块对ssh登录有效,但不影响su登录

? 1.3.6 limit

? ??在用户级别实现对其可使用的资源的限制。

选项功能
-H设置硬件资源,一旦设置无法添加
-S设置软件资源,可以添加但不能超过硬件资源
-a显示当前所有的limit信息
-c最大的core文件大小,单位为blocks
-d进程最大的数据段,单位为Kbytes
-f最大创建的文件量,单位为blocks
-l最大可枷锁内存的大小,单位为Kbytes
-m最大内存,单位为Kbytes
-n最大文件描述符数量
-p管道缓冲区大小,单位为Kbytes
-s线程栈大小,单位为Kbytes
-t最大CPU占用时间,单位为秒
-u用户最大可用进程数
-v进程可用最大的虚拟内存,单位为Kbytes

? 1.4 sudo

? ??允许系统管理员让普通用户执行一些或者全部的root命令的一个工具,udo使一般用户不需要知道超级用户的密码即可获得权限。

? ??配置文件格式说明:/etc/sudoers,/etc/sudoers.d/

? 1.4.1 别名

? ? sudo别名有四种类型:

? ? ? User_Alias(用户)

? ? ? Runas_Alias(代表用户)

? ? ? Host_Alias(登录主机)

? ? ? Cmnd_Alias(命令)

? ? 注意:别名格式必须大写字母,数字可以使用但是不能放在开头

文章来源:https://blog.csdn.net/sea_bunch/article/details/135408667
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。