今天講的是Linux里的賬號(hào)安全控制

用戶賬號(hào)，是計(jì)算機(jī)使用者的身份憑證和標(biāo)識(shí)，每一個(gè)要訪問系統(tǒng)資源的人，必須憑證借其用戶賬號(hào)才能進(jìn)入計(jì)算機(jī)。

創(chuàng)新互聯(lián)是一家專業(yè)提供渾江企業(yè)網(wǎng)站建設(shè),專注與網(wǎng)站設(shè)計(jì)、成都網(wǎng)站制作、H5頁(yè)面制作、小程序制作等業(yè)務(wù)。10年已為渾江眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)網(wǎng)站制作公司優(yōu)惠進(jìn)行中。

系統(tǒng)賬號(hào)清理

在Linux系統(tǒng)中，除了用戶手動(dòng)創(chuàng)建的各種賬號(hào)之外，還包括隨系統(tǒng)或程序安裝過程中而生成的其他大量賬號(hào)。除了超級(jí)用戶root之外，其他大量賬戶只是用來(lái)維護(hù)系統(tǒng)運(yùn)作、自動(dòng)或保持服務(wù)進(jìn)程，一般是不允許登錄的，因此也稱為非登錄用戶。

1、首先輸入grep "bash" /etc/passwd 查看有哪些用戶可以登錄當(dāng)前的服務(wù)器。

2、創(chuàng)建新用戶lisi，輸入useadd lisi 敲擊回車，接著輸入passwd ilsi 設(shè)置密碼。

3、接下來(lái)我們要做的就是如何對(duì)我們useradd這個(gè)文件進(jìn)行控制，輸入lsatt /etc/passwd /etc/shadow，看看文件是否有鎖住。

4、現(xiàn)在需要給文件上鎖，輸入

chattr +i /etc/passwd /etc/shadow/

5、這時(shí)候我們?cè)俚轿募呀?jīng)上鎖，用useradd看看是否可以創(chuàng)建用戶，再輸入tail -5 /etc/passwd 看看有沒有創(chuàng)建成功。

6、可以看到用戶創(chuàng)建失敗，接下來(lái)進(jìn)行解鎖輸入

chattr -i /etc/passwd /etc/shadow

7、可以看到文件屬于解鎖狀態(tài)了，接下來(lái)我們新建用戶試試看是否成功。

---

密碼安全控制

在不同的網(wǎng)絡(luò)環(huán)境中，為了降低密碼被猜出或者被暴力破解的風(fēng)險(xiǎn)，用戶應(yīng)養(yǎng)成更改密碼的習(xí)慣，避免長(zhǎng)期使用一個(gè)密碼。管理員可以在服務(wù)器端限制用戶密碼的最大有效天數(shù)，對(duì)于密碼已過期的用戶，登錄將被要求重新設(shè)密碼，否則將拒絕登錄。

1、輸入vim etc/shadow 查看賬戶的密碼文件。

2、可以看到其中root和一些已存在用戶的密碼有效期是永久，接下來(lái)我們?cè)谂渲梦募镄薷囊汛嬖谟脩?，輸入vim /etc/login.defs，進(jìn)入可以看到全是密碼屬性，按"/“輸入99999查找到該位置，dw刪除，按"a"將密碼最長(zhǎng)有效期修改為30天，wq保存退出。

3、進(jìn)入剛才的密碼文件看看是否修改成功。

4、這時(shí)候新添加個(gè)用戶，再進(jìn)入密碼文件最長(zhǎng)有效期是不是30天。

5、輸入chage -M 30 wangwu ，進(jìn)行以創(chuàng)建的用戶修改有效期。

6、接下來(lái)就是用chage -d 0指定用戶下次登錄時(shí)修改密碼。

7、這時(shí)候我們輸入一個(gè)新密碼會(huì)發(fā)現(xiàn)并不可以登錄。

8、我們?cè)佥斎胍粋€(gè)復(fù)雜性的密碼看看，是否可以。

9、發(fā)現(xiàn)還是失敗了，因?yàn)樗牟辉试S使用連續(xù)的字符和連續(xù)的阿拉伯?dāng)?shù)字。

---

命令歷史、自動(dòng)注銷

Shell環(huán)境的命令歷史機(jī)制為用戶提供了極大的便利，但另一方面也給用戶帶來(lái)了潛在的風(fēng)險(xiǎn)。只要獲得用戶的命令歷史文件，該用戶的命令操作過程將會(huì)一覽無(wú)余，如果曾經(jīng)在命令行輸入明文的密碼，則無(wú)意之中服務(wù)器的安全壁壘又多了一個(gè)缺口。
1、輸入history查看輸入過的歷史命令記錄。

2、通過修改/etc/profile文件中的環(huán)境變量值，可以影響系統(tǒng)中的所有用戶。

3、其中歷史命令的記錄條數(shù)默認(rèn)為1000條，我們按“/”查詢，Shift+R進(jìn)行替換，輸入20，wq退出保存，修改命令歷史記錄為20條。

4、輸入history查看是否顯示歷史命令20條。

5、可以發(fā)現(xiàn)修改保存退出之后也沒有執(zhí)行，這時(shí)候輸入source /etc/profile，再看看是否可以。

當(dāng)每次修改完環(huán)境變量之后，如果不想重啟的話一定要輸入source /etc/profile 讓它生效。

1、在每個(gè)用戶里都有一個(gè)環(huán)境變量配置文件，輸入cd /home/zhanngsan,可以看到用戶環(huán)境變量配置文件。

2、輸入vim .bash_logout，進(jìn)入配置文件。

3、在配置文件中輸入history -c clear wq保存退出，這樣每次注銷了之后就會(huì)清空歷史命令。

自動(dòng)注銷
Bash環(huán)境終端中，還可以設(shè)置一個(gè)閑置超時(shí)時(shí)間，當(dāng)超過指定的時(shí)間沒有任何輸入時(shí)即自動(dòng)注銷終端。
1、輸入vim /etc/profile進(jìn)入配置文件。

2、閑置超時(shí)由變量TMOUT來(lái)控制，默認(rèn)單位為秒，在配置文件中操作TMOUT會(huì)發(fā)現(xiàn)沒有這個(gè)指令。

3、按“o"輸入export TMOUT=200，wq保存。

4、再輸入source /etc/profile 執(zhí)行。

然后我們之后只要超過200秒系統(tǒng)客戶端就會(huì)自動(dòng)注銷。

用戶切換與提權(quán)

大多數(shù)Linux服務(wù)器并不建議用戶直接以root用戶直接登錄。一方面可以大大減少因失誤而導(dǎo)致的破壞，另一方面也降低了特權(quán)密碼在不安全的網(wǎng)絡(luò)中被泄露的風(fēng)險(xiǎn)。鑒于這些原因，需要為普通用戶體提供一種身份切換或權(quán)限提升機(jī)制，以便在必要的時(shí)候執(zhí)行權(quán)限。
su命令——切換用戶
使用su命令，可以切換為指定的另一個(gè)用戶，從而具有該用戶的所有權(quán)限。
1、這時(shí)候我們用普通用戶登錄輸入su root 切換管理員身份。

2、輸入grep "bash$" /etc/passwd查看有可以登錄的用戶。

3、用su可以在用戶間來(lái)回切換。

默認(rèn)情況下，任何用戶讀允許使用su命令，從而有機(jī)會(huì)反復(fù)嘗試其他用戶的登錄密碼，帶來(lái)安全風(fēng)險(xiǎn)。為了加強(qiáng)su命令的使用控制，可以借助pam_wheel認(rèn)證模塊，只允許極個(gè)別用戶使用su命令進(jìn)行切換。
4、可以看出只要是知道root的密碼就都可以切換至root輸入密碼進(jìn)入，我們接下來(lái)講的就是指定用戶切換root。
輸入vim /etc/pam.d/su進(jìn)入配置文件。

移動(dòng)至#auth處，輸入dw刪除#開啟wheel，輸入wq保存并退出。

輸入vim /etc/group 查看wheel相對(duì)應(yīng)的用戶是什么。

輸入id akg查看用戶是否被默認(rèn)添加到wheel里

現(xiàn)在添加用戶bose看看bose可不可以切換root用戶。

我們可以看到拒絕權(quán)限，現(xiàn)在bose就不可以切換用戶，接下來(lái)輸入gpasswd -a bose wheel 添加到wheel里，再進(jìn)行用戶切換。

sudo命令——提升執(zhí)行權(quán)限
通過sudo命令可以讓普通用戶擁有一部分管理權(quán)限，有需要將root的用戶密碼告訴它，不過需要由管理員預(yù)先進(jìn)行授權(quán)，指定允許哪些用戶以超級(jí)用戶的身份來(lái)執(zhí)行哪些命令。
1、輸入vim /etc/sudoers就可以進(jìn)入配置文件。

2、我們之前已經(jīng)把a(bǔ)kg和bose用戶都添加到了wheel組里了，進(jìn)入配置文件看到wheel允許所有用戶以超級(jí)用戶的身份來(lái)執(zhí)行所有命令。

3、新創(chuàng)建用戶lisi。

4、輸入id lisi 可以看到lisi不屬于wheel組。

5、現(xiàn)在我們切換lisi用戶登錄，登錄之后我們使用看看是否可以修改ip地址，右擊打開終端，輸入ipconfig ens33 192.71.140。

6、發(fā)現(xiàn)并不可以修改ip地址，輸入which ifconfig查看該命令在哪個(gè)目錄里。

7、ipconfig的命令在/sbin/里，輸入sudo ifconfig 192.168.71.140，就可以修改ip地址，會(huì)提示讓我們輸入用戶密碼。

8、但是輸入密碼之后會(huì)提示我們不在sudoers當(dāng)中。

9、剛才我們的bose和akg都在wheel組中，現(xiàn)在點(diǎn)擊注銷切換用戶，現(xiàn)在我們輸入sudo ifconfig ens33 192.168.71.140，修改ip地址。

10、如果我們想讓lisi用戶也可以修改ip地址的話也是有辦法的，首先切換用戶至root，輸入vim /etc/sudoers進(jìn)入配置文件在Host Aliases這一欄空白處寫入:lisi(用戶)localhost(主機(jī)名)=/sbin/ifconfig(使用sbin里的ifconfig命令)，wq保存退出。

11、退出保存之后切換到isi用戶，輸入sudo ifconfig ens33 192.168.71.139,我們可以看到lisi也可以修改ip地址。

PAM安全認(rèn)證

PAM是Linux系統(tǒng)中可插拔認(rèn)證模塊，Linux系統(tǒng)使用su命令存在安全隱患，默認(rèn)情況，任何情況下，任何用戶都允許使用su命令，從而有機(jī)會(huì)反復(fù)嘗試其他用戶的登錄密碼，帶來(lái)安全風(fēng)險(xiǎn)。
為了加強(qiáng)su命令的使用控制，可以借助PAM認(rèn)證模塊，只允許極個(gè)別用戶使用su命令進(jìn)行切換。
1、PAM及其作用
(1)、PAM是一種高效而且靈活便利的用戶級(jí)別認(rèn)證方式，它也是當(dāng)前Linux服務(wù)器普遍使用的認(rèn)證方法。
(2)、PAM提供了對(duì)所有服務(wù)進(jìn)行認(rèn)證的中央機(jī)制，適用于login,遠(yuǎn)程登錄，su等應(yīng)用程序。
(3)、系統(tǒng)管理員通過PAM配置文件來(lái)制定不同應(yīng)用程序的不同認(rèn)證策略。
PAM認(rèn)證原理
(1)、PAM認(rèn)證一般遵循的順序：Service(服務(wù))—>PAM(配置文件)—>pam_*.so

(2)、PAM認(rèn)證首先要確定哪一項(xiàng)服務(wù)，然后加載相應(yīng)的PAM配置文件(/etc/pam.d下)，最后調(diào)用認(rèn)證文件進(jìn)行安全認(rèn)證。
(3)、用戶訪問服務(wù)器的時(shí)候，服務(wù)器的某一個(gè)服務(wù)程序把用戶的請(qǐng)求發(fā)送到PAM沒模塊進(jìn)行認(rèn)證。不同的應(yīng)用程序所對(duì)應(yīng)的PAM模塊也是不同的。
PAM認(rèn)證的結(jié)構(gòu)

(1)每一行都是一個(gè)獨(dú)立的認(rèn)證過程
(2)每一行可以區(qū)分為三個(gè)字段：
1)認(rèn)證類型
2)控制類型
3)PAM模塊及其參數(shù)

標(biāo)題名稱：centOS7賬戶安全控制(一)
當(dāng)前路徑：http://chinadenli.net/article22/jiedjc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供外貿(mào)建站、微信公眾號(hào)、企業(yè)網(wǎng)站制作、企業(yè)建站、網(wǎng)站內(nèi)鏈、App設(shè)計(jì)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)