賬號安全基本措施

系統賬號清理

非登錄用戶的shell改為/sbin/nologin

usermod -s /sbin/nologin user1

鎖定長期不用的賬號

方法1

usermod -L user1(鎖定后的賬戶shadow文件密碼段全面有!)

usermod -U user1(解鎖)

方法2

passwd -l user1(鎖定后的賬戶shadow文件密碼段全面有??!,注意和usermod有區別,一個!或者兩個??!的區別)

passwd -u user1(解鎖)

passwd -S user1 (檢查鎖定情況)

刪除無用的賬號

userdel -r user1(r代表一并刪除家目錄)

使用su命令切換用戶z

  • 用途:Substitute User,切換用戶
  • 格式:su -目標用戶

密碼驗證

root-->任意用戶,不驗證密碼

普通用戶-->其他用戶,驗證目標用戶的密碼

[jerr@localhost~]$ su -root

口令

[jerr@localhost~]# whoami

root

帶-選項表示將使用目標,用戶的登錄shell環境

限制使用su命令的用戶

  • 將允許使用su命令的用戶加入wheel組
  • 啟用pa_wheel認證模塊

[root@localhost~]# vi/etc/pam.d/su

#%PAM-1.0

auth sufficient pam_rootok.so

auth required pam_wheel.so use_uid

(a)以上兩行是默認狀態(及開啟第一行,注釋第二行),這種狀態下是允許所有用戶間使用su命令進行切換

(b)兩行都注釋也是運行所有用戶都能使用su命令,但root下使用su切換到其他普通用戶需要輸入密碼:如果第一行不注釋,則root使用su切換普通用戶就不需要輸入密碼(pam_)

查看su操作記錄

安全日志文件

Linux中的PAM安全認證

默認情況下,任何用戶都允許使用su命令,有機會反復嘗試其他用戶(如root)的登陸密碼,帶來安全風險

為了加強

PAM認證原理

一般遵循的順序

Service(服務)->PAM(配置文件)->pam_*.so

PAM認證的構成

查看某個程序是否支持PAM認證,可以用ls命令

示例:查看su是否支持PAM模塊認證

ls /etc/pam.d|grep su

查看su的PAMpzwj:cat/etc/pam.d/su

  • 每一行都是一個獨立的認證過程
  • 每一行可以區分為三個字段

認證類型

控制類型

PAM模塊及其參數

使用sudo機制提升權限

su命令的缺點

sudo命令的用途及用法

  • 用途:以其他用戶身份(如root)執行授權的命令
  • 用法:sudo 授權命令

配置sudo授權

visudo或vi/etc/sudoers

記錄格式:用戶 主機名=命令程序列表

[root@localhost~]#visudo

......

%wheel ALL=NOPASSWD:ALL

jerry localhost=/sbin/ifconfig

syrianer localhost=/sbin/*,!/sbin/ifconfig,!/sbin/route

Cmnd_Alias PKGTOOLS=/bin/rpm,/usr/bin/yum

mile localgost=PKGTOOLS

調整BIOS引導設置

  • 將第一引導設備設為當前系統所在硬盤
  • 禁止從其他設備(光盤、U盤、網絡)引導系統
  • 將安全級別設為setup,并設置管理員密碼

GRUB限制

  • 使用grub2-makpasswd-pbkdf2生成密鑰
  • 修改/etc/grub.d/00_header
  • 生成新的grub.cfg配置文件

限制root只在安全終端登陸

安全終端配置:/etc/securetty

[root@localhost~]# vi

禁止普通用戶登陸

建立/etc/nologin文件

刪除nologin文件或重啟后即恢復正常