账户安全基本操作:
系统账户清理:
将非登录的账户的shell设置为/sbin/nologin
锁定长期不使用的账号
删除无用账号
锁定账号文件passwd、shadow
密码安全控制:
在不安全的网络环境中,为了降低密码被猜出或者被暴力破解的风险,用户应养成定期修改密码的习惯,避免长期使用同一个密码。管理员可以在服务器端限制用户密码的最大有效天数,对于密码已经过期的用户,登录时将被要求重新设置密码,否则拒绝登录。
vi /etc/login.defs
chage -d 0 jack
历史命令,自动注销:
例如:设置最多只记录200条历史命令
[root@localhost ~]# vi /etc/profile '对于未创建的用户,使用此命令修改配置文件'
...省略部分内容
将其中的HISTSIZE=1000,修改为HISTSIZE=200
[root@localhost ~]# export HISTSIZE=200 '该命令适用于当前用户,及时成效'
'每当编辑完/etc/profile文件后,都需要使用命令source /etc/profile或者换重启使之生效'
终端自动注销:
1.2:用户切换与提权:
1.2.1:su 命令 -切换用户:
限制使用su命令的用户:
1.将允许使用su命令的用户加入wheel组:
在wheel组的zk可以进入root模式,但是不在wheel的jack不能进入root。
1.3:Linux中的PAM安全认证
PAM认证原理:
PAM(Pluggable Authentication Modules)可插拔式认证模块,它是一种高效而且灵活便利的用户级别的认证方式,它也是当前Linux服务器普遍使用的认证方式
PAM认证一般遵循的顺序:Service(服务)→PAM(配置文件)→pam_*.so(.so 后缀代表模块文件)
PAM认证首先要确定哪一项服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib/security下)进行安全认证
用户访问服务器的时候,服务器的某一个服务程序把用户的不同请求发送到PAM模块进行认证
不同的应用程序所对应的PAM模块也是不同的
PAM安全认证流程:
