Linux系统加固-用户和组管理策略
密码策略
linux的账号过期策略有效期等主要是在/etc/login.defs文件内控制
PAM认证模块
Linux-PAM(linux可插入认证模块)是一套共享库,使本地系统管理员可以随意选择程序的认证方式. 换句话说,不用(重新编写)重新编译一个包含PAM功能的应用程序,就可以改变它使用的认证机制. 这种方式下,就算升级本地认证机制,也不用修改程序.
PAM使用配置/etc/pam.d/下的文件,来管理对程序的认证方式.应用程序调用相应的配置文件,从而调用本地的认证模块.模块放置在/lib/security下,以加载动态库的形式进,像我们使用su命令时,系统会提示你输入root用户的密码.这就是su命令通过调用PAM模块实现的.
路径
/etc/pam.d/system-auth
Linux-PAM有四种模块类型,分别代表四种不同的任务,它们是:
认证管理(auth)表示鉴别类接口模块类型用于检查用户和密码,并分配权限;
账号管理(account)表示账户类接口,主要负责账户合法性检查,确认帐号是否过期,是否有权限登录系统等;
会话管理(session)会话类接口。实现从用户登录成功到退出的会话控制;
和密码管理(password)口令类接口。控制用户更改密码的全过程。也就是有些资料所说的升级用户验证标记。
用户权限
linux中文件目录权限分为读写执行三种,
u:User,即文件或目录的拥有者。
g:Group,即文件或目录的所属群组。
o:Other,除了文件或目录拥有者或所属群组之外,其他用户皆属于这个范围。
a:All,即全部的用户,包含拥有者,所属群组以及其他用户。
有关权限代号的部分,列表于下:
r:读取权限,数字代号为"4"。
w:写入权限,数字代号为"2"。
x:执行或切换权限,数字代号为"1"。
-:不具任何权限,数字代号为"0"。
s:特殊?b>功能说明:变更文件或目录的权限。
