系统安全

一、账号安全基本措施

1、系统账号清理

1.1将非登录用户的Shell设为/sbin/nologin

usermod -s  /sbin/nologin  用户名

1.2锁定长期不使用的账号

usermod -L mcl    锁定用户方式一

usermod -U mcl    解锁用户方式一

passwd -l mcl    锁定用户方式二

passwd -u mcl    解锁用户方式二

1.3删除无用的账号

userdel -r 用户名

1.4锁定账号文件 passwd、shadow

chattr +i  /etc/passwd  /etc/shadow    锁定文件

lsattr  /etc/passwd  /etc/shadow    查看状态

chattr -i  /etc/passwd  /etc/shadow    解锁文件

chattr +i 命令解释：

​ 设置了“i”属性的文件不能进行修改:你既不能删除它, 也不能给它重新命名,你不能对该文件创建链接, 而且也不能对该文件写入任何数据.
只有超级用户可以设置或清除该属性.

修改用户密码（两种方法）

echo 密码 | passwd --stdin 用户名

passwd 用户名

2、密码安全控制

2.1方法一：修改密码配置文件 （密码配置文件为/etc/login.defs）——针对新用户，已有用户不能更改

格式：

vim /etc/login.defs    直接进去修改配置文件

PASS_MAX_DAYS   30    密码有效期

PASS_MIN_DAYS    0    最小修改密码时间间隔

PASS_MIN_LEN     5     设置密码的长度

PASS_WARN_ACE    7    密码过期提前多久进行警告    

2.2方法二：修改已有用户的密码有效期——chage命令

格式：

chage [选项] 用户名

举例：chage -M 30 mcl 修改用户mcl密码有效期为30

chage -d 0 mcl 修改指定用户密码最后修改时间，0表示下次登录要修改密码

chage 命令解释

chage命令用于密码实效管理，该是用来修改帐号和密码的有效期限。它可以修改账号和密码的有效期　

参数	描述
-d	指定密码最后修改日期
-E	密码到期的日期，过了这天此账号将不可用；0表示马上过期，1表示永不过期
-h	显示帮助信息并退出
-l	密码过期后，锁定账号的天数
-l	列出用户以及密码的有效期
-m	密码可以更改的最小天数；为零代表任何时候都可以更改密码
-M	密码保持有效的最大天数
-W	密码过期前，提前收到警告信息的天数

3、命令历史记录限制

• 减少记录的命令条数；
• 登录时自动清空命令历史 ；
• 系统默认保存1000条历史命令记录
• history -c 命令只可以临时清除记录（其实所有的文件都还保存在.bash_history ），重启后记录还在

3.1临时对历史命令的数量进行限制

3.2永久对历史命令的数量进行限制

vim /etc/profile     修改配置文件

export HISTSIZE=200    修改命令历史记录数量最大为200，前面添加export为全局有效

source /etc/profile     刷新配置文件，立即生效

4、使用su命令切换用户

4.1用途和格式

• 用途：Substitute User，切换用户
• 格式：su - 目标用户（横杠“ - ”代表切换到目标用户的家目录）

4.2密码验证

• root - - - >任意用户，不验证密码
• 普通用户- - - >其他用户，验证目标用户的密码
• 带 “ - ” 表示将使用目标用户的登录Shell环境

4.3格式详情

切换用户

su  -  mcl    root切换普通用户

su  -  root    普通用户切换其他用户

查看当前登录的用户

whoami     显示当前登录的用户

4.4操作

5、限制使用su命令的用户

• 将允许使用su命令的用户加入wheel组中
• 启用pam_wheel 认证模块

• 以上两行现在是默认状态（即开启第二行，注释第六行），这种状态下是允许所有用户间使用su命令进行切换的
• 两行都注释是允许所有用户都能使用su命令，但root使用su切换到其他普通用户需要输入密码；如果第一行不注释，则root使用su切换普通用户就不需要输入密码（pam rootok. so模块的主要作用是使uid为0的用户，即root用户能够直接通过认证而不用输入密码）
• 如果开启第六行，表示只有root用户和wheel组内的用户才可以使用su命令
• 如果注释第二行，开启第六行，表示只有wheel组内的用户才能使用su命令，root用户也被禁用su命令

6、Linux中的PAM安全认证

6.1su命令的安全隐患

默认情况下，任何用户都允许使用su命令，有机会反复尝试其他用户(如root) 的登录密码，带来安全风险；
为了加强su命令的使用控制，可借助于PAM认证模块,只允许极个别用户使用su命令进行切换

6.2PAM(Pluggable Authentication Modules)可插拔式认证模块

• 是一种高效而且灵活便利的用户级别的认证方式
• 也是当前Linux服务器普遍使用的认证方式

6.3PAM认证原理:

• PAM认证一般遵循的顺序: Service (服务) --> PAM (配置文件) --> pam_*.so
• PAM认证首先要确定哪一项应用服务，然后加载相应的PAM的配置文件(位于/etc/pam.d下)，最后调用认证模块(位于/lib64/security/下）进行安全认证
• 用户访问服务器的时候，服务器的某一个服务程序把用户的请求发送到PAM模块进行认证。不同的应用程序所对应的PAM模块也是不同的
• 如果想查看某个程序是否支持PAM认证，可以用ls命令进行查看/etc/pam.d/
• PAM的配置文件中的每一行都是一个独立的认证过程，它们按从上往下的顺序依次由PAM模块调用

7、使用sudo机制提升权限

7.1 sudo命令的用途及用法

• 用途 ：以其他用户身份（如root执行授权的命令）
• 用法：sudo 权限命令

7.2.配置sudo授权

• visudo或者vi /etc/sudoers（此文件没有写的权限，保存时必须 wq！强制执行操作）
• 记录格式：用户 主机名=命令程序列表
• 可以使用通配符“ * ”号任意值和“ ！”号进行取反操作。
• 权限生效后，有5分钟的闲置时间，超过5分钟没有操作则需要再输入密码。

7.3 操作格式

用户  主机名=命令程序列表

用户  主机名=（用户）命令程序列表

mcl  ALL=(root)   /sbin/ifconfig   sudo  -l

• 用户: 直接授权指定的用户名，或采用“&组名"的形式(授权一个组的所有用户)
• 主机名:使用此规则的主机名。没配置过主机名时可用localhost，有配过主机名则用实际的主机名，ALL则代表所有主机
• (用户):用户能够以何种身份来执行命令。此项可省略，缺省时以root用户的身份来运行命令
• 命令程序列表:允许授权的用户通过sudo方式执行的特权命令，需填写命令程序的完整路径，多个命令之间以逗号“,"进行分隔。ALL则代表系统中的所有命令
• 执行调用格式为（用户名 网络中的主机=（执行命令的目标用户） 执行的命令范围）

7.4 启用sudo操作日志

• 需启用Defaults logfile配置
• 默认日志文件：/var/log/sudo
• 操作：在/etc/sudoers末尾添加Defaults logfile="/var/log/sudo"