系统安全与应用

账号安全基本措施

账号管理：

• 将用户设置无法登录
• 锁定账号
• 锁定配置文件

1、将用户设置无法登录

 2、锁定账号

passwd -l  用户名：锁定用户密码

 #锁定用户chen08的密码

 #发现从lisi用户切换到chen08用户失败

 passwd -u 用户名：解锁用户密码

 #将用户chen08解除锁定

 #解锁后可以正常切换chen08

 

3、锁定配置文件

chattr  +i   文件名：不得任意更动文件或目录

 chattr   -i   文件名：解除锁定

密码安全控制

语法

chage  [选项]  用户名

选项：
-m：密码可更改的最小天数，为0表示任何时候都可以更改
-M：密码保持有效的最大天数
-w：用户密码到期前，提前收到警告信息的天数
-E：帐号到期的日期。过了这天，此帐号将不可用
-d：上一次更改的日期
-i：停滞时期。如果一个密码已过期这些天，那么此帐号将不可用
-l：例出当前的设置。由非特权用户来确定他们的密码或帐号何时过期

例如：

chage  -d  0  lisi
#强制李四下一次登录必须修改密码
chage  -M  30  lisi
#设置密码有效期30天

PAM安全认证

插件式的模块

常见功能：

用户名/密码验证功能

开发出一款软件，如果要用到用户名和密码的功能时，就会调pam模块中的密码模块

模块类型：

auth：账号的认证和授权——你的账号的权限

Password 用户修改密码时密码复杂度检查机制等功能

ession 用户会话期间的控制，如：最多打开的文件数，最多的进程数等

-type 表示因为缺失而不能加载的模块将不记录到系统日志,对于那些不总是安装在系统上的模块有用

control：控制位

required ：一票否决，失败后继续验证，全部执行完在通知

requisite ：一票否决，失败后立即通知

sufficient ：一票通过，成功后立即通知

optional  ：不用于验证，只显示信息

 实验

 #查看shell下的路径，创建用户“zhangsan”指定路径为 /bin/csh

 #给“zhangsan”创建一个密码

 #编辑pam文件

#在auth前复制一行一样的内容

 #将sufficient（一票通过）改成required（一票否决），将rootok改成shells。保存退出

 #编辑shells文件，将/bin/csh删除

 #切换到张三发现登录失败

#将文件恢复即可正常登录

limit：对资源的限制

语法：

ulimit  [选项]

-H 设置硬件资源限制.
-S 设置软件资源限制.
-a 显示当前所有的资源限制.
-c size:设置core文件的最大值.单位:blocks
-d size:设置数据段的最大值.单位:kbytes
-f size:设置创建文件的最大值.单位:blocks
-l size:设置在内存中锁定进程的最大值.单位:kbytes
-m size:设置可以使用的常驻内存的最大值.单位:kbytes
-n size:设置内核可以同时打开的文件描述符的最大值.单位:n
-p size:设置管道缓冲区的最大值.单位:kbytes
-s size:设置堆栈的最大值.单位:kbytes
-t size:设置CPU使用时间的最大上限.单位:seconds
-u size:最大用户进程数
-v size:设置虚拟内存的最大值.单位:kbytes
unlimited 是一个特殊值，用于表示不限制

 #查看当前的资源限制

 #临时对“open files”进行更改，将限制放宽到 20000

内核调优：打开文件数量、打开路由转发功能、可用内存空间

系统调优：关闭不必要的开机自启程序、将国外yum源改为国内清华、阿里等源、时间同步、内核调优、日志整理分割

sudo：超级管理员做

• sudo能够授权指定用户在指定主机上运行某些命令。如果未授权用户尝试使用 sudo，会提示联系管理员

• sudo提供了丰富的日志，详细地记录了每个用户干了什么。它能够将日志传到中心主机或者日志服务器

• sudo使用时间戳文件来执行类似的“检票”系统。当用户调用sudo并且输入它的密码时，用户获得了一张存活期为5分钟的票

• sudo的配置文件是sudoers文件，它允许系统管理员集中的管理用户的使用权限和使用的主机。它所存放的位置默认是在/etc/sudoers，属性必须为0440

 #普通用户不能使用一些命令

 #将普通用户加人到可以执行的组（让普通用户以超级管理员的身份运行）

 #普通用户使用sudo命令即可使用

 #设置sudo别名，就需要的用户添加到组，以减少使用root用户的次数

#配置前要记得备份该文件