系统安全及应用
一.账号安全基本措施
① 系统账号清理
② 密码安全控制
③ 命令历史限制
④ 终端自动注销
二.SU命令切换用户
① 用途及用法
② 验证密码
③ 限制使用su命令的用户
④ 查看su操作记录
补充
三.Linux中的PAM安全认证
① su命令的安全隐患
② PAM(Pluggable Authentication Modules)可插拔式认证模块
③ PAM认证原理
④ 认证流程
四.sudo机制提升权限
① sudo命令的用途及用法
② 配置sudo授权
③ 查看sudo操作记录
④ 查看授权的sudo操作

一.账号安全基本措施

① 系统账号清理

• 将非登录用户的Shell设为/sbin/nologin

• 锁定长期不使用的账号

• 删除无用的账号

• 锁定账号文件 passwd、shadow

② 密码安全控制

• 设置密码有效期

• 要求用户下次登录时修改密码

适用于新建用户:
vi /etc/login.defs

适用于已有用户:
chage -M xx xx

强行在下次登录时更改密码:
chage -d 0 xxx

③ 命令历史限制

• 减少记录的命令条数
vi /etc/profile

• 登录时自动清空命令历史
vi .bashrc
echo " " > ~/.bash_history

减少记录的命令条数:
vi /etc/profile

登录时自动清空命令历史:
vi .bashrc
echo " " > ~/.bash_history

④ 终端自动注销

闲置360秒后自动注销

vi /etc/profile

二.SU命令切换用户

① 用途及用法

• 用途: Substitute User,切换用户
• 格式: su-目标用户

② 验证密码

• root>任意用户,不验证密码
•普通用户→其他用户,验证目标用户的密码

③ 限制使用su命令的用户

• 将允许使用su命令的用户加入wheel组
• 启用pam_ wheel认证模块

④ 查看su操作记录

安全日志文件:/var/log/secure

补充
在/etc/ pam. d/su文件里设置禁止用户使用su命令
vim /etc/pam.d/ su

2// auth sufficient pam_ rootok. so
6// #auth required pam_ wheel.so use_ uid

a) 以上两行是默认状态(即开启第一-行,注释第二行),这种状态下是允许所有用户间使用su命令进行切换的

b) 两行都注释也是运行所有用户都能使用su命令,但root.下使用su切换到其他普通用户需要输入密码;
如果第一行不注释,则root使用su切换普通用户就不需要输入密码(pam_ rootok. so模块的主要作用是使uid为0的用户,即root用户能够直接通过认证而不用输入密码)

c) 如果开启第二行,表示只有root用户和wheel组内的用户才可以使用su命令

d) 如果注释第一行,开启第二行,表示只有wheel组内的用户才能使用su命令,root用户也被禁用su命令

三.Linux中的PAM安全认证
PAM使用/etc/pam.d/下的配置文件,来管理对程序的认证方式

应用程序调用相应的PAM配置文件,从而调用本地的认证模块,模块放置在/lib64/security下以加载动态库的形式进行认证。比如使用su命令时,系统会提示输入root用户的密码,这就是su命令通过调用PAM模块实现的

① su命令的安全隐患
默认情况下,任何用户都允许使用su命令,有机会反复尝试其他用户(如root) 的登录密码,带来安全风险

为了加强su命令的使用控制,可借助于PAM认证模块只允许极个别用户使用su命令进行切换

② PAM(Pluggable Authentication Modules)可插拔式认证模块
是一种高效而且灵活便利的用户级别的认证方式

是当前Linux服务器普遍使用的认证方式

③ PAM认证原理
1.PAM认证一般遵循的顺序:Service(服务)–>PAM(配置文件)–>pam_*.so

2.PAM认证首先要确定哪一项应用服务,然后加载相应的PAM的配置文件(位于7etc/pam.d下),最后调用认证模块(位于/lib64/security/下)进行安全认证

3.用户访问服务器的时候,服务器的某–个服务程序把用户的请求发送到PAM模块进行认证。不同的应用程序所对应的PAM模块也是不同的

4.不同的应用程序所对应的PAM模块是不同的

• 如果想查看某个程序是否支持PAM 认证,可以用ls命令进行查看/etc/ pam.d/

• PAM的配置文件中的每一行都是一个独立的认证过程,它们按从上往下的顺序依次由PAM模块调用

第一列代表PAM认证模块类型

auth: 对用户身份进行识别,如提示输入密码,判断是否为root

account: 对账号各项属性进行检查,如是否允许登录系统,帐号是否已经过期,是否达到最大用户数等

password: 使用用户信息来更新数据,如修改用户密码

session: 定义登录前以及退出后所要进行的会话操作管理,如登录连接信息,用户数据的打开和关闭,挂载文件系统

第二列代表PAM控制标记

required: 表示需要返回一个成功值,如果返回失败,不会立刻将失败结果返回,而是继续进行同类型的下一验证,所有此类型的模块都执行完成后,再返回失败

requisite: 与required类似,但如果此模块返回失败,则立刻返回失败并表示此类型失败

sufficient: 如果此模块返回成功,则直接向程序返回成功,表示此类成功,如果失败,也不影响这类型的返回值

optional: 不进行成功与否的返回,一般不用于验证,只是显示信息(通常用于session 类型)

include: 表示在验证过程中调用其他的PAM配置文件。比如很多应用通过完整调用/etc/pam.d/system-auth(主要负责用户登录系统的认证工作)来实现认证而不需要重新逐一去写配置项

第三列代表PAM模块

默认是在/lib64/security/目录下,如果不在此默认路径下,要填写绝对路径

同一个模块,可以出现在不同的模块类型中,它在不同的类型中所执行的操作都不相同,这是由于每个模块针对不同的模块类型编制了不同的执行函数

第四列代表PAM模块的参数

这个需要根据所使用的模块来添加传递给模块的参数。参数可以有多个,之间用空格分隔开

④ 认证流程
控制类型也称做Control Flags,用于PAM验证类型的返回结果
1.required验证失败时仍然继续,但返回Fail

2.requisite验证失败则立即结束整个验证过程,返回Fail

3. sufficient验证成功则立即返回,不再继续,否则忽略结果并继续

4.optional不用于验证,只显示信息
(通常用于session类型)

required : 表示该行以及所涉及模块的成功是用户通过鉴别的[必要条件]。换句话说,只有当对应于应用程序的所有带requi red标记的模块全部成功后,该程序才能通过鉴别。同时,如果任何带requi red标记的模块出现了错误,PAM并不立刻将错误消息返回给应用程序,而是在所有此类型模块都调用完毕后才将错误消息返回调用他的程序

说白了,就是必须将所有的此类型模块都执行一次,其中任何一个模块验证出错,验证都会继续进行,并在执行完成之后才返回错误信息。这样做的目的就是不让用户知道自已被哪个模块拒绝,通过一种隐蔽的方式来保护系统服务。就像设置防火墙规则的时候将拒绝类的规则都设置为drop-样,以致于用户在访问网络不成功的时候无法准确判断到底是被拒绝还是目标网络不可达

requisite: 与required相仿, 只有带此标记的模块返回成功后,用户才能通过鉴别。不同之处在于其一旦失败就不再执行堆中后面的其他模块,并且鉴别过程到此结束,同时也会立即返回错误信息。与上面的required相比,似乎要显得更光明正大一-些

sufficient: 表示该行以及所涉及模块验证成功是用户通过鉴别的[充分条件]。也就是说只要标记为sufficient的模块一旦验证成功,那么PAM便立即向应用程序返回成功结果而不必尝试任何其他模块。即便后面的层叠模块使用了requisite或者required控制标志也是一样。当标记为sufficient的模块失败时,sufficient模 块会当做optional对待。因此拥有sufficient标志位的配置项在执行验证出错的时候并不会导致整个验证失败,但执行验证成功之时则大门]敞开。所以该控制位的使用务必慎重

optional: 表示即便该行所涉及的模块验证失败用户仍能通过认证。在PAM体系中,带有该标记的模块失败后将继续处理下一模块。也就是说即使本行指定的模块验证失败,也允许用户享受应用程序提供的服务。使用该标志,PAM框架会忽略这个模块产生的验证错误,继续顺序执行下一个层叠模块

四.sudo机制提升权限
① sudo命令的用途及用法
用途:以其他用户身份(如root)执行授权的命令

用法:sudo 授权命令

② 配置sudo授权
• visudo 或者 vi /etc/sudoers此文件的默认权限为440,保存退出时必须执行 “:wq!”命令来强制操作

• 记录格式:用户 主机名=(用户)命令程序列表

用户: 直接授权指定的用户名,或采用“。组名"的形式(授权一个组的所有用户)

主机名: 使用此规则的主机名。没配置过主机名时可localhost,有配过主机名则用实际的主机名,ALI则代表所有主机

(用户): 用户能够以何种身份来执行命令。此项可省略,缺省时以root用户的身份来运行命令

命令程序列表: 允许授权的用户通过sudo方式执行的特权命令,需填写命令程序的完整路径,多个命令之间以逗号“,”进行分隔。ALL则代表系统中的所有命令

样例一:

样例二:

使用关键字User_ Alias、Host_ Alias、Cmnd_ Alias 来进行设置别名( 别名必须为大写)

③ 查看sudo操作记录

• 需启用Defaults logfile配置
• 默认日志文件: /var/log/sudo

④ 查看授权的sudo操作

sudo -l

初次使用sudo时需验证当前用户的密码,默认超时时长为5分钟,在此期间不再重复验证密码

总结
1.账号安全基本措施

锁定账号文件 passwd、shadow

• chattr +i /etc/passwd /etc/shadow
锁定文件并查看状态
• Isattr /etc/passwd /etc/shadow
查看
• chattr -i /etc/passwd /etc/shadow
解锁文件

密码安全控制

• 适用于新建用户
vi /etc/login.defs

• 适用于已有用户
chage -M xx xx

• 强行在下次登录时更改密码
chage -d 0 xxx

命令历史限制

• 减少记录的命令条数
vi /etc/profile

• 登录时自动清空命令历史
vi .bashrc
echo " " > ~/.bash_history

终端自动注销

vi /etc/profile

2.限制使用su命令的用户

• 将允许使用su命令的用户加入wheel组
• vim /etc/pam.d/ su
• 启用pam_ wheel认证模块

查看su操作记录
安全日志文件:/var/log/secure

3.Linux中的PAM安全认证

•PAM使用/etc/pam.d/下的配置文件,来管理对程序的认证方式

• 如果想查看某个程序是否支持PAM 认证,可以用ls命令进行查看/etc/ pam.d/

• PAM的配置文件中的每一行都是一个独立的认证过程,它们按从上往下的顺序依次由PAM模块调用

4.sudo机制提升权限

记录格式:用户 主机名=(用户)命令程序列表
Tom ALL=/ sbin/ ifconfig

使用关键字User_ Alias、Host_ Alias、Cmnd_ Alias 来进行设置别名( 别名必须为大写)

查看sudo操作记录
• 需启用Defaults logfile配置
• 默认日志文件: /var/log/sudo

查看授权的sudo操作
sudo -l

管理员的基本防范措施 Linux系统安全及应用的更多相关文章

  1. 管理员必备的20个Linux系统监控工具

    需要监控Linux服务器系统性能吗?尝试下面这些系统内置或附件的工具吧.大多数Linux发行版本都装备了大量的监控工具.这些工具提供了能用作取得相关信息和系统活动的量度指标.你能使用这些工具发现造成性 ...

  2. 管理员必备的几个Linux系统监控工具

    需要监控Linux服务器系统性能吗?尝试下面这些系统内置或附件的工具吧.大多数Linux发行版本都装备了大量的监控工具.这些工具提供了能用作取得相关信息和系统活动的量度指标.你能使用这些工具发现造成性 ...

  3. 管理员必备的Linux系统监控工具

    管理员必备的Linux系统监控工具 #1: top - 进程活动 top提供一个当前运行系统实时动态的视图, 也就是正在运行进程.在默认情况下,显示系统 中CPU使用率最高的任务,并每5秒钟刷新一次. ...

  4. 【转】管理员必备的Linux系统监控工具

    原文连接: 管理员必备的Linux系统监控工具 #1: top - 进程活动 top提供一个当前运行系统实时动态的视图,也就是正在运行进程.在默认情况下,显示系统中CPU使用率最高的任务,并每5秒钟刷 ...

  5. 给Linux系统/网络管理员的nmap的29个实用例子

    Nmap亦称为Network Mapper(网络映射)是一个开源并且通用的用于Linux系统/网络管理员的工具.nmap用于探查网络.执行安全扫描.网络核查并且在远程机器上找出开放端口.它可以扫描在线 ...

  6. Linux系统忘记管理员密码(CentOS、RHEL、Ubuntu)

    Linux系统忘记管理员密码(CentOS.RHEL.Ubuntu) 系统使用过程中,尤其是生产环境中.万一忘记管理员密码,该怎么办?是不是很绝望? 1.RHEL 7.0 重启主机进入引导界面键入e键 ...

  7. Linux系统安全保护措施

    1.系统安全记录文件 操作系统内部的记录文件是检测是否有网络入侵的重要线索.如果系统是直接连接到Internet的,且发现有很多人对系统做telnet/FTP登录尝试,可以运行“#more/var/s ...

  8. linux系统服务器可能被攻击的几种攻击方式

    linux系统随着Linux企业应用的扩展,有大量的网络服务器使用Linux操作系统.Linux服务器的安全性能受到越来越多的关注,这里根据Linux服务器受到攻击的深度以级别形式列出,并提出不同的解 ...

  9. 暴力破解FTP服务器技术探讨与防范措施

    暴力破解FTP服务器技术探讨与防范措施 随着Internet的发展出现了由于大量傻瓜化黑客工具任何一种黑客攻击手段的门槛都降低了很多但是暴力破解法的工具制作都已经非常容易大家通常会认为暴力破解攻击只是 ...

随机推荐

  1. CVPR2019目标检测论文看点:并域上的广义交

    CVPR2019目标检测论文看点:并域上的广义交 Generalized Intersection over Union Generalized Intersection over Union: A ...

  2. CodeGen结构循环回路

    CodeGen结构循环回路 structure循环是一个模板文件构造,它允许您迭代CodeGen拥有的有关结构的集合.为了使用结构循环,必须同时基于多个存储库结构生成代码. CodeGen可以通过以下 ...

  3. Django(55)GenericAPIView源码分析

    源码分析 GenericAPIView继承自APIView,也就是在APIView基础上再做了一层封装,源码如下: class GenericAPIView(views.APIView): query ...

  4. JUC 并发编程--06, 阻塞队列(7种), 阻塞等待 api的 代码验证

    这些队列的 api ,就是添加队列,出队列,检测对首元素, 由于 add()--remove(), offer()--poll(),太简单这里不做验证, 只验证后二组api: 阻塞等待( put()- ...

  5. Python集合:set

    集合 集合的描述 set是一个无序不重复的序列,可以用{}或者 set() 函数创建集合,它存放不可变类型(如字符串.数字.元组)数据. 注意:创建一个空集合必须使用set()方法,因为{}是用来生成 ...

  6. NX二次开发-创建(临时)坐标系

    函数:UF_CSYS_create_csys() . UF_CSYS_create_temp_csys() 函数说明:创建坐标系 .创建临时坐标系 用法: #include <uf.h> ...

  7. 安装Apache、Nginx和PHP-基于Centos7环境

    使用的软件:putty或Xshell都可. 一.搭建Apache 1.编译安装 (1).安装编译器 yum install -y gcc (2)安装Opensll 查询官网得到OpenSSL下载网址h ...

  8. DOS命令行(7)——Windows网络检测与诊断

    ping ping 命令的作用是通过发送"网际控制报文协议(ICMP)"回响请求消息来验证另一台TCP/IP计算机的IP级连接状态,回响应答消息的接收情况将和返回过程的次数一起显示 ...

  9. 『无为则无心』Python基础 — 11、Python中的数据类型转换

    目录 1.为什么要进行数据类型转换 2.数据类型转换本质 3.数据类型转换用到的函数 4.常用数据类型转换的函数 (1)int()函数 (2)float()函数 (3)str()函数 (4)bool( ...

  10. 20201123 《python程序设计》实验四报告

    20201123 2020-2021-2 <python程序设计>实验三报告 课程:<Python程序设计>班级:2011姓名:晏鹏捷学号:20201123实验教师:王志强实验 ...