賬戶安全基本操作:
系統賬戶清理:
將非登錄的賬戶的shell設置爲/sbin/nologin
鎖定長期不使用的賬號
刪除無用賬號
鎖定賬號文件passwd、shadow
密碼安全控制:
在不安全的網絡環境中,爲了降低密碼被猜出或者被暴力破解的風險,用戶應養成定期修改密碼的習慣,避免長期使用同一個密碼。管理員可以在服務器端限制用戶密碼的最大有效天數,對於密碼已經過期的用戶,登錄時將被要求重新設置密碼,否則拒絕登錄。
vi /etc/login.defs
chage -d 0 jack
歷史命令,自動註銷:
例如:設置最多隻記錄200條歷史命令
[root@localhost ~]# vi /etc/profile '對於未創建的用戶,使用此命令修改配置文件'
...省略部分內容
將其中的HISTSIZE=1000,修改爲HISTSIZE=200
[root@localhost ~]# export HISTSIZE=200 '該命令適用於當前用戶,及時成效'
'每當編輯完/etc/profile文件後,都需要使用命令source /etc/profile或者換重啓使之生效'
終端自動註銷:
1.2:用戶切換與提權:
1.2.1:su 命令 -切換用戶:
限制使用su命令的用戶:
1.將允許使用su命令的用戶加入wheel組:
在wheel組的zk可以進入root模式,但是不在wheel的jack不能進入root。
1.3:Linux中的PAM安全認證
PAM認證原理:
PAM(Pluggable Authentication Modules)可插拔式認證模塊,它是一種高效而且靈活便利的用戶級別的認證方式,它也是當前Linux服務器普遍使用的認證方式
PAM認證一般遵循的順序:Service(服務)→PAM(配置文件)→pam_*.so(.so 後綴代表模塊文件)
PAM認證首先要確定哪一項服務,然後加載相應的PAM的配置文件(位於/etc/pam.d下),最後調用認證文件(位於/lib/security下)進行安全認證
用戶訪問服務器的時候,服務器的某一個服務程序把用戶的不同請求發送到PAM模塊進行認證
不同的應用程序所對應的PAM模塊也是不同的
PAM安全認證流程:
