Linux用戶帳號安全優化
Red Hat Linux提供了很多方法來確保用戶帳號的安全。對於帳號安全的重要性,我自不必多說,想畢大家都非常的重視這個問題。今天咱們先來看一些用的比較多比較實用的。我這裏總結了八個方法,希望路過的高人們能傳授更多更有效的方法。
一. 使用su命令
su命令相信大家經常都在用,無非就是個切換用戶。但是現在我們要做一件事情就是隻讓zpp用戶通過su命令切換爲管理員,而其它用戶不可以使用su命令切換用戶身份。可以藉助pam_wheel模塊來控制允許使用su的用戶。實現的步驟如下:
1. 將允許使用su命令的用戶zpp加入wheel組。
說明:wheel組是默認由am_wheel模塊提供的用於使用su功能的用戶組,只要把zpp加入wheel組,並設置當使用su命令時必須通過pam_wheel模塊認證即可
2. 修改PAM設置,添加pam_wheel認證。
說明:這一行不用添加默認就有了咱們把“#”去掉就可以用了。
好了,現在咱們來驗證一下。可以看到只有zpp用戶能使用su命令,如下:
而沒有被添加到wheel組中的user1用戶是無法使用su命令切換用戶的,如下:
二. 確認程序或服務用戶的登錄Shell不可用
有些系統或服務運行的帳號,比如:apache、dovecot、ftp、rpm等,建議將它們的登錄Shell修改爲“/sbin/nologin”。做法很簡單如下:
比如咱們要把郵件用戶zpp的登錄腳本修改爲“/sbin/nologin”,下面是兩種簡單的方法:
方法一:直接到/etc/passwd文件中去把zpp的錄腳本修改爲“/sbin/nologin”。
方法二:一條命令搞定,如下:
|
[root@localhost ~]#usermod –s /sbin/nologin zpp |
三. 限制用戶的密碼有效期
這就相當於windows密碼策略中的密碼最長使用期限。當我們限制了天數之後可以減少密碼被猜出或被暴力破解的風險。咱們可以通過修改“/etc/login.defs”文件實現。如下:
說明:改成上面這樣,新建立的用戶密碼最長就只能用30天了。如果用戶經建立了哪就用下圖中的方法解決這個問題
現在用戶在登錄服務器時,如果密碼已經超過有效期,系統會要求重新設置一個新的密碼,否則用戶將無法登錄。我就不驗證了哈!不然我還得等30天啊!
四. 指定用戶在下次登錄時必須修改密碼
這個功能好!咱們做網工的最怕別人冤枉我們。別人的密碼咱們不知道最好,免得給自己找麻煩。
下面是通過命令的方式指定zpp用戶下次登錄時必須修改密碼
或者去shadow文件中找到zpp用戶,將用冒號“:”分隔的第3列(LAST DAY域)的值設置爲0即可,如圖:
現在我們用zpp用戶來驗證一下吧,如圖必須修改了密碼纔可以登錄
五. 限制用戶密碼的最小長度
有的用戶喜歡用諸如123、abc、888這樣的密碼,這就太危險了!在Red Hat5系統中,主要基於cracklib模塊檢查用戶密碼的複雜性和安全強度,增加最小長度(minlen)參數的值可以提高密碼的安全性。默認情況下,minlen的值爲10,對應的用戶口令最短爲6,cracklib基於密碼串長度和複雜性同時進行檢查,所以minlen的值並不直接代表用戶設置密碼的長度。
下圖是通過PAM(Pluggable Authentication Module,可插拔認證模塊)機制修改密碼最小長度限制。
這樣設置之後密碼太短或太簡單時將設置不成功,密碼因爲看不見所以我也截不了圖,大家自己試試看啊!
六. 限制記錄命令歷史的條數
命令歷史固然好,但也有安全隱患。萬一誰獲得了命令歷史記錄文件,又萬一在這個歷史記錄文件中有曾經輸入過的明文密碼,那… …不敢往下想了。趕快看看下圖中的設置吧
說明:將所有用戶的命令歷史記錄爲100條(默認的1/10),並且設置當前用戶在註銷登錄後自動清空命令歷史記錄。
七. 設置閒置超時自動註銷終端
爲了安全起見,咱們使用終端時,可以設置一個TMOUT變量,當超過指定的時間沒有輸入時就自動註銷。以防止咱們去了洗手間或接聽電話時,其它人對服務器的誤操作風險。
下圖中將閒置超時時間設置爲600秒,注意要重新登錄才生效。
八. 刪除系統中不使用的用戶和組
Mysql、apache、named、news… …(我這就不一一列舉了),這些用戶和組只要是沒用的都可以刪,萬一被***利用了,管理員是很難發現的。如果您在爲到底刪不刪而猶豫不決時,那就把它禁用了吧。使用命令“passwd –l 用戶名”就可以做這個事,或者直接修改shaow文件,在用戶的密碼字符串前添加“!”。