Linux系统加固-用户和组管理策略

密码策略

linux的账号过期策略有效期等主要是在/etc/login.defs文件内控制

PAM认证模块

Linux-PAM(linux可插入认证模块)是一套共享库,使本地系统管理员可以随意选择程序的认证方式. 换句话说,不用(重新编写)重新编译一个包含PAM功能的应用程序,就可以改变它使用的认证机制. 这种方式下,就算升级本地认证机制,也不用修改程序.
PAM使用配置/etc/pam.d/下的文件,来管理对程序的认证方式.应用程序调用相应的配置文件,从而调用本地的认证模块.模块放置在/lib/security下,以加载动态库的形式进，像我们使用su命令时,系统会提示你输入root用户的密码.这就是su命令通过调用PAM模块实现的.
路径

/etc/pam.d/system-auth

Linux-PAM有四种模块类型，分别代表四种不同的任务，它们是：

认证管理（auth）表示鉴别类接口模块类型用于检查用户和密码，并分配权限；

账号管理（account）表示账户类接口，主要负责账户合法性检查，确认帐号是否过期，是否有权限登录系统等；

会话管理（session）会话类接口。实现从用户登录成功到退出的会话控制；

和密码管理（password）口令类接口。控制用户更改密码的全过程。也就是有些资料所说的升级用户验证标记。

用户权限

linux中文件目录权限分为读写执行三种，
　u：User，即文件或目录的拥有者。
　g：Group，即文件或目录的所属群组。
　o：Other，除了文件或目录拥有者或所属群组之外，其他用户皆属于这个范围。

　a：All，即全部的用户，包含拥有者，所属群组以及其他用户。
　
　　有关权限代号的部分，列表于下：
　　r：读取权限，数字代号为"4"。
　　w：写入权限，数字代号为"2"。
　　x：执行或切换权限，数字代号为"1"。
　　-：不具任何权限，数字代号为"0"。
　　s：特殊?b>功能说明：变更文件或目录的权限。