一、用户账号安全管理

1.1 系统账号的清理

将不需要登录用户的登录shell设置为/sbin/nologin

1.2 对用户账号的操作

1.2.1锁定和解锁用户

1.2.2 删除无用账号

1.3 对重要文件进行锁定

1.4 密码安全控制

1.4.1 新建用户

在 /etc/login.defs文件中修改新建用户配置

在地25行,可改变密码有效期,只对新建用户有效

1.4.2 已有用户

二、历史管理命令

2.1 历史命令限制

2.2 自动情空历史命令

三、设置终端登录的安全管理

3.1 设置终端登录超时

vim /etc/profile ,键入行 即TMOUNT=600 ,默认10分钟无操作,终端自动断开。

3.2 禁止普通用户登录

root用户,touch /etc/nologin,可禁止普通用户登录

root用户,rm -rf /etc/nologin,恢复普通用户登录

四、对用户切换进行限制

4.1 su命令

su 用户名 :在终端中切换已知密码的用户,root用户切换到普通用户默认不需要密码,普通用户发起的切换需要目标账户的密码,su切换用户不会改变环境变量,用的还是之前的用户shell,是不完全切换。

su -用户名:登录式切换,读取目标用户的配置文件,切换到家目录,如果在root用户下,su 相当于刷新,如果是普通用户,就是切换回root。

4.2 限制普通用户使用su

4.2.1 wheel组

wheel组:wheel组,这个在组文件中查不到,属于特殊组,用来控制系统管理员的权限,、转为管理员服务

如果普通用户加入到whell 组,就能拥有管理员才能执行的一些权限,需要用sudo命令执行wheel组的特殊权限。

解除注释 ,保存退出后,可以发现除了wheel组用户和root用户,其他用户都不能切换用户。wheel组默认是空的,没有任何成员,需要管理员账号手动添加。

将用户添加到wheel组,用户即可获得切换用户的权限。

wheel组的权限很大,配置的时候要以最小权限原则来进行配置。

4.2.2 PAM的认证类型

PAM安全认证:Linux系统身份认证的一个架构,提供了一种标准的身份认证的接口,允许管理员定制化的管理认证方式方法。

PAM认证是一个可插拔式的模块,所谓可插拔,是应为是 PAM认证的配置文件里,启用和停用只修改相应的命令行开头的符号#即可。

PAM的认证类型

认证模块:验证用户的身份,基于密码的认证。

模块授权:控制用户对系统资源的访问,文件访问,进程权限等。

账户管理模块:管理用户账户信息,密码过期策略,账户锁定策略等。

会话管理模块:管理用户回话,注销用户等。

PAM安全认证流程图如下

五、授权管理

5.1 sudo命令 ,相当于给普通用户赋权,配置sudo需要对/etc/sudoers/进行编辑,进入配置,注释掉图中两行

再到100行,下行插入

为 test2用户赋权可以调用passwd命令,命令前加NOPASSWD可免密码sudo

test2用户使用授权命令

test2可以给所有用户设置密码(包括root),这种行为很危险,所以sudo的配置一般仅给与需要的最小权限。

5.2 使用别名批量设置普通用户权限

在 /etc/sudoers文件里编辑

命令授权部分,定义了主机localhost,开放给test1和test2这两个用户/sbin下面的所有命令,(*表示全部),除了(!表示取反,即不给权限)重启,关机,改变运行级别和删除。

六、6.1 开关机安全机制

grub2 -setpasswd:给grub菜单设置密码,要修改菜单需要此密码

6.2 弱口令扫描工具 ,即检测过于简单的密码

点赞(0) 打赏

评论列表 共有 0 条评论

暂无评论

微信公众账号

微信扫一扫加关注

发表
评论
返回
顶部