linux帐户安全管理与技巧

linux帐户安全管理与技巧

实验目的

1、掌握linux管理账户的基本命令；

2、了解linux用户管理的一般原则；

 

任务一：建立与删除普通用户账户，管理组

 

 

 

    管理帐户的俱行工具及功能如下：

 

    useradd [] 添加新用户

 

    usermod [] 修改已存在的指定用户

 

    userdel [-r] 删除已存在的指定帐户，-r参数用于删除用户自家目录

 

    groupadd [] 加新组

 

    groupmod [] 修改已存在的指定组

 

    groupdel 删除已存在的指定组

 

 

 

 

 

 

 

 

 

任务二：用户口令管理与口令时效管理

 

（1）passwd命令

    passwd命令用来设置用户口令，格式为：passwd [] []

    用户修改自己的用户密码可直接键入passwd，若修改其他用户密码需加用户名。超级用户还可以使用如下命令进行用户口令管理：

    passwd -l //禁用用户帐户口令

    passwd -S //查看用户帐户口令状态

    passwd -u //恢复用户帐户口令

    passwd -d //删除用户帐户口令

 

 1. 给用户user1创建口令，设置为：111111

 

 2. 禁用账户user1

 

 3. 恢复账户user1的账户口令：

 

 4. 删除用户账户口令

 

 

2）chage命令

    口令时效是系统管理员用来防止机构内不良口令的一种技术。在Linux系统上，口令时效是通过chage命令来管理的，格式为：chage []

    下面列出了chage命令的选项说明：

    -m days： 指定用户必须改变口令所间隔的最少天数。如果值为0，口令就不会过期。

    -M days： 指定口令有效的最多天数。当该选项指定的天数加上-d选项指定的天数小于当前的日期时，用户在使用该帐号前就必须改变口令。

    -d days： 指定从1970年1月1日起，口令被改变的天数。

    -I days： 指定口令过期后，帐号被锁前不活跃的天数。如果值为0，帐号在口令过期后就不会被锁。

    -E date： 指定帐号被锁的日期。日期格式YYYY-MM-DD。若不用日期，也可以使用自1970年1月1日后经过的天数。

    -W days： 指定口令过期前要警告用户的天数。

    -l： 列出指定用户当前的口令时效信息，以确定帐号何时过期。

 

 

任务三：PAM可插拔验证模块

 

    PAM(Plugable Authentication Module，可插拔验证模块)是由Sun提出的一种认证机制。管理员通过它可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序，同时也便于向系统中添加新的认证手段。不少应用软件都可以与PAM进行集成，当然，操作系统的登录验证过程也可以通过对PAM进行配置来进行。如指定密码复杂性、指定用户试图登录的失败次数等，以下列出对这些账号的安全性配置。

1. 指定密码复杂性

    修改/etc/pam.d/system-auth配置：(注意：在root用户下进行，其余用户对这个文件只有读的权限)

    vi /etc/pam.d/system-auth

    限制密码最少有：2个大写字母，3个小写字母，3个数字，2个符号

    文件中有一行为：

    password requisite pam_cracklib.so try_first_pass retry=3

    在其后追加如下参数：

    ucredit=-2 lcredit=-3 dcredit=-3 ocredit=-2

2. 验证时若出现任何与pam_tally有关的错误则停止登录

    auth required pam_tally.so onerr=fail magic_root

3. 账号验证过程中一旦发现连续5次输入密码错误，就通过pam_tally锁定此账号600秒

    account required pam_tally.so deny=5 lock_time=600 magic_root reset

 

 

 

 

通过这次实验掌握了linux管理账户的基本命令，了解linux用户管理的一般原则；