笔记整理:linux帐户安全管理与技巧

任务一:建立与删除普通用户账户,管理组

    管理帐户的俱行工具及功能如下:

    useradd [] 添加新用户

    usermod [] 修改已存在的指定用户

    userdel [-r] 删除已存在的指定帐户,-r参数用于删除用户自家目录

    groupadd [] 加新组

    groupmod [] 修改已存在的指定组

    groupdel 删除已存在的指定组

任务二:用户口令管理与口令时效管理

(1)passwd命令

    passwd命令用来设置用户口令,格式为:passwd [] []

    用户修改自己的用户密码可直接键入passwd,若修改其他用户密码需加用户名。超级用户还可以使用如下命令进行用户口令管理:

    passwd -l //禁用用户帐户口令

    passwd -S //查看用户帐户口令状态

    passwd -u //恢复用户帐户口令

    passwd -d //删除用户帐户口令

    在创建完用户user1后,没给用户passwd口令时,账户默认为禁用状态:

(2)chage命令

    口令时效是系统管理员用来防止机构内不良口令的一种技术。在Linux系统上,口令时效是通过chage命令来管理的,格式为:chage []

    下面列出了chage命令的选项说明:

    -m days: 指定用户必须改变口令所间隔的最少天数。如果值为0,口令就不会过期。

    -M days: 指定口令有效的最多天数。当该选项指定的天数加上-d选项指定的天数小于当前的日期时,用户在使用该帐号前就必须改变口令。

    -d days: 指定从1970年1月1日起,口令被改变的天数。

    -I days: 指定口令过期后,帐号被锁前不活跃的天数。如果值为0,帐号在口令过期后就不会被锁。

    -E date: 指定帐号被锁的日期。日期格式YYYY-MM-DD。若不用日期,也可以使用自1970年1月1日后经过的天数。

    -W days: 指定口令过期前要警告用户的天数。

    -l: 列出指定用户当前的口令时效信息,以确定帐号何时过期。

    例如下面的命令要求用户user1两天内不能更改口令,并且口令最长的存活期为30天,并且口令过期前5天通知用户

    chage -m 2 -M 30 -W 5 user1

    可以使用如下命令查看用户user1当前的口令时效信息:chage -l user1

    

任务三:PAM可插拔验证模块

1. 指定密码复杂性

    修改/etc/pam.d/system-auth配置:(注意:在root用户下进行,其余用户对这个文件只有读的权限)

    vi /etc/pam.d/system-auth

    限制密码最少有:2个大写字母,3个小写字母,3个数字,2个符号

    文件中有一行为:

    password requisite pam_cracklib.so try_first_pass retry=3

    在其后追加如下参数:

    ucredit=-2 lcredit=-3 dcredit=-3 ocredit=-2

2. 验证时若出现任何与pam_tally有关的错误则停止登录

    auth required pam_tally.so onerr=fail magic_root

3. 账号验证过程中一旦发现连续5次输入密码错误,就通过pam_tally锁定此账号600秒

    account required pam_tally.so deny=5 lock_time=600 magic_root reset

输入过于简单的密码123456

 输入符合要求的密码

 日志查看:

 

 

分析与思考
1)思考还有哪些加强linux账户安全的管理方法?
答:1.设置密码最小长度2.设置密码最长使用期限
2)比较一下linux账户跟unix账户管理的异同。
答:inux 是一个类似 Unix 的操作系统它们都支持多任务, Linux 模仿了 UNIX(但并没有抄袭 UNIX 的源码),使得 Linux 在外观和交互上与 UNIX 非常类似。UNIX 是商业软件,而 Linux 是开源软件
posted @ 2021-09-13 19:33  石元  阅读(48)  评论(0编辑  收藏  举报