十一章.系统安全及应用
十一章.系统安全及应用
文章目录
- 十一章.系统安全及应用
- 一:账号安全控制
- 1.2密码安全控制
- 二、使用su命令切换用户2-1
- 2.2限制使用su命令的用户
- 将允许使用su命令的用户加入wheel组
- 启用pam_wheel认证模块
- su命令具有安全隐患
- su命令使每个用户都具有反复尝试其他用户的登陆密码的能力,若是root用户,则风险更大。
- 所以需要加强su命令的使用控制,可以借助PAM认证模块,仅允许极个别指定用户可使用su命令进行切换
- 命令进行切换。实现过程如下:将授权使用su命令的用户添加到 wheel组,修改/etc/pam.d/su认证配置以启用pam wheel 认证。
- 以上两行是默认状态(即开启第一行,注释第二行),这种状态下是允许所有用户间使用su命令进行切换的
- 两行都注释也是运行所有用户都能使用su命令,但root下使用su切换到其他普通用户需要输入密码;如果第一行不注释,则root使用su切换普通用户就不需要输入密码(pam_rootok)
- so模块的主要作用是使uid为o的用户,即root用户能够直接通过认证而不用输入密码如果开启第二行,表示只有root用户和wheel组内的用户才可以使用su命令
- 如果注释第一行,开启第二行,表示只有whee1组内的用户才能使用su命令,root用户也被禁用su命令
- 示例:
- 账号安全基本措施3-1
- 四、PAM认证原理及构成
- 4.1PAM认证的原理
- 4.2PAM认证的构成
- 限制su命令
- 配置sudo授权1.2
- 配置sudo授权1.3
- 使用sudo机制提升权限3-3
- 开关机安全控制
- 终端登录安全控制
- 系统弱口令检测2-1
- JR
- JR
目录:
一:账号安全控制
1.1系统账号清理
将非登录的用户的shell设为/sbin/nologin
锁定长期不使用的账号
删除无用的账号
锁定账号文件passwd,shadow
1.2密码安全控制
设置密码有效期
要求用户下次登录时修改密码
chage -M 日期 用户 【设置用户密码有效期】
chage -E xxxx-xx-xx 用户 【设置用户过期时间】
外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传
vi /etc/login.defs 【修改密码配置文件】
二、使用su命令切换用户2-1
2.1用途以及方法
用途:Substitute User,切换用户
格式:
su -目标用户
密码验证
2.2限制使用su命令的用户
将允许使用su命令的用户加入wheel组
启用pam_wheel认证模块
su命令具有安全隐患
su命令使每个用户都具有反复尝试其他用户的登陆密码的能力,若是root用户,则风险更大。
所以需要加强su命令的使用控制,可以借助PAM认证模块,仅允许极个别指定用户可使用su命令进行切换
命令进行切换。实现过程如下:将授权使用su命令的用户添加到 wheel组,修改/etc/pam.d/su认证配置以启用pam wheel 认证。
在/etc/ pam.d/su文件里设置禁止用户使用su命令
vim /etc/pam.d/ su
#auth sufficient pam_ rootok.so
#auth required pam_ wheel.so use__uid
以上两行是默认状态(即开启第一行,注释第二行),这种状态下是允许所有用户间使用su命令进行切换的
两行都注释也是运行所有用户都能使用su命令,但root下使用su切换到其他普通用户需要输入密码;如果第一行不注释,则root使用su切换普通用户就不需要输入密码(pam_rootok)
so模块的主要作用是使uid为o的用户,即root用户能够直接通过认证而不用输入密码如果开启第二行,表示只有root用户和wheel组内的用户才可以使用su命令
如果注释第一行,开启第二行,表示只有whee1组内的用户才能使用su命令,root用户也被禁用su命令
示例:
将suangcaiyu用户加入wheel组中
进入vi /etc/pam.d/su
将这条命令前面的#号删除启动
账号安全基本措施3-1
账号安全基本措施3-2
账号安全基本措施3-3
四、PAM认证原理及构成
4.1PAM认证的原理
一般遵循的顺序:
Service (服务) -->PAM (配置文件) --> pam_ *.so;
首先要确定哪一项应用服务,然后加载相应的PAM的配置文件(位于/etc/pam.d 下),最后调用认证模块(位于/lib64/ security/下)进行安全认证。
3.用户访问服务器的时候,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证。不同的应用程序所对应的PAM模块也是不同的。
4.2PAM认证的构成
查看某个程序是否支持PAM认证,可以用ls命令
ls /etc/pam.d | grep su
查看su的PAM配置文件:cat /etc/pam.d/su
每一行都是一个独立的认证过程
每一行可以区分为三个字段
认证类型
控制类型
PAM模块及其参数
限制su命令
使用sudo机制提升权限3-1
使用sudo机制提升权限3-2
配置sudo授权
visudo或者vi /etc/sudoers
记录格式
配置sudo授权
外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传
配置sudo授权1.2
外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传
配置sudo授权1.3
查看自己被授予的权限
配置sudo授权
执行命令
使用sudo机制提升权限3-3
查看sudo操作记录
开关机安全控制
命令grub2-setpasssword
终端登录安全控制
系统弱口令检测2-1
Joth the Ripper,简称为 JR
系统弱口令检测2-2
JR
下载安装JR
JR-破解密码
为 john
JR
下载安装JR
JR-破解密码
原文地址:https://blog.csdn.net/2401_86349554/article/details/143352426
免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!