linux帐户安全管理与技巧
Linux下的账户系统文件
Linux下的帐户系统文件主要有/etc/passwd、/etc/shadow、/etc/group和/etc/gshadow 4个。
(1)/etc/passwd文件中每行定义一个用户帐号,一行中又划分为多个不同的字段定义用户帐号的不同属性,各字段用“:”隔开。
各字段定义如下:
用户名:用户登录系统时使用的用户名,它在系统中是唯一的。
口令:此字段存放加密的口令。在此文件中的口令是x,这表示用户的口令是被/etc/shadow文件保护的,所有加密口令以及和口令有关的设置都保存在/etc/shadow中。
用户标识号:是一个整数,系统内部用它来标识用户。每个用户的UID都是唯一的。root用户的UID是0,1~499是系统的标准帐户,普通用户从500开始。
组标识号:是一个整数,系统内部用它来标识用户所属的组。
注释性描述:例如存放用户全名等信息。
自家目录:用户登录系统后进入的目录。
命令解释器:批示该用户使用的shell,Linux默认为bash。
(2)/etc/passwd文件对任何用户均可读,为了增加系统安全性,用户的口令通常用shadow passwords保护。/etc/shadow只对root用户可读。在安装系统时,会询问用户是否启用shadow passwords功能。在安装好系统后也可以用pwconv命令和pwunconv来启动或取消shadow passwords保护。经过shadow passwords保护的帐户口令和相关设置信息保存在/etc/shadow文件里。
各字段意义如下:
用户名:用户的帐户名
口令:用户的口令,是加密过的
最后一次修改时间:从1970年1月1日起,到用户最后一次更改口令的天数
最小时间间隔:从1970年1月1日起,到用户可以更改口令的天数
最大时间间隔:从1970年1月1日起,到用户必须更改口令的天数
警告时间:在用户口令过期之前多少天提醒用户更新
不活动时间:在用户口令过期之后到禁用帐户的天数
失效时间:从1970年1月1日起,到帐户被禁用的天数
标志:保留位
(3)/etc/group文件。将用户分组是Linux中对用户进行管理及控制访问权限的一种手段。当一个用户同时是多个组的成员时,在/etc/passwd中记录的是用户所属的主组,也就是登录时所属的默认组,而其他的组称为附加组。用户要访问附加组的文件时,必须首先使用newgrp命令使自己成为所要访问的组的成员。组的所有属性都存放在/etc/group中,此文件对任何用户均可读。
各字段意义如下:
组名:该组的名称
组口令:用户组口令,由于安全性原因,已不使用该字段保存口令,用“x”占位
GID:组的识别号,和UID类似,每个组都有自己独有的ID号,不同组的GID不会相同
组成员:属于这个组的成员
(4)/etc/gshadow文件用于定义用户组口令、组管理员等信息,该文件只有root用户可以读取。
各字段意义如下:
组名:用户组名称,该字段与group文件中的组名称对应
组口令:用户组口令,该字段用于保存已加密的口令
组的管理员帐号:组的管理员帐号,管理员有权对该组添加、删除帐号
组成员:属于该组的用户成员列表,用“,”分隔
任务一:建立与删除普通用户账户,管理组
管理帐户的俱行工具及功能如下:
useradd [] 添加新用户
usermod [] 修改已存在的指定用户
userdel [-r] 删除已存在的指定帐户,-r参数用于删除用户自家目录
groupadd [] 加新组
groupmod [] 修改已存在的指定组
groupdel 删除已存在的指定组
1)创建一个新用户user1
useradd user1
查看用户是否创建成功
2)创建一个新组group1
groupadd group1
3)创建一个新用户user2并将其加入用户组group1中
useradd -G group1 user2
4)创建一个新用户user3,指定登录目录为/www,不创建自家用户目录(-M)
useradd -d /www -M user3
5)将用户user2添加到附加组group1中
usermod -G group1 user1
至此,group1组中有user1,user2两个用户,用命令查看/etc/group文件如下图:
(注:用户user3不属于组group1中的用户)
6)删除用户user3,用户uers3从用户组中消失
userdel user3
7)删除用户user2,同时删除自家目录
userdel -r user2
8)删除组group1,则组group1中的用户则被分配到其自己分配的私有组中。
groupdel group1
任务二:用户口令管理与口令时效管理
(1)passwd命令
passwd命令用来设置用户口令,格式为:passwd [] []
用户修改自己的用户密码可直接键入passwd,若修改其他用户密码需加用户名。超级用户还可以使用如下命令进行用户口令管理:
passwd -l //禁用用户帐户口令
passwd -S //查看用户帐户口令状态
passwd -u //恢复用户帐户口令
passwd -d //删除用户帐户口令
在创建完用户user1后,没给用户passwd口令时,账户默认为禁用状态:
1. 给用户user1创建口令,设置为:111111
passwd user1
接下来我们再次查看user1状态时,则为如下图所示:
密码已经设置,且为MD5加密
2. 禁用账户user1
passwd -l user1
3. 恢复账户user1的账户口令:
passwd -u user1
4. 删除用户账户口令
passwd -d user1
用户user1的密码即为空。
(2)chage命令
口令时效是系统管理员用来防止机构内不良口令的一种技术。在Linux系统上,口令时效是通过chage命令来管理的,格式为:chage []
下面列出了chage命令的选项说明:
-m days: 指定用户必须改变口令所间隔的最少天数。如果值为0,口令就不会过期。
-M days: 指定口令有效的最多天数。当该选项指定的天数加上-d选项指定的天数小于当前的日期时,用户在使用该帐号前就必须改变口令。
-d days: 指定从1970年1月1日起,口令被改变的天数。
-I days: 指定口令过期后,帐号被锁前不活跃的天数。如果值为0,帐号在口令过期后就不会被锁。
-E date: 指定帐号被锁的日期。日期格式YYYY-MM-DD。若不用日期,也可以使用自1970年1月1日后经过的天数。
-W days: 指定口令过期前要警告用户的天数。
-l: 列出指定用户当前的口令时效信息,以确定帐号何时过期。
例如下面的命令要求用户user1两天内不能更改口令,并且口令最长的存活期为30天,并且口令过期前5天通知用户
chage -m 2 -M 30 -W 5 user1
可以使用如下命令查看用户user1当前的口令时效信息:chage -l user1
日志文件路径:var/log
boot.log:引导过程日志(开机自检)
last.log:最后一次用户成功登录的时间、登录时使用的IP等信息
messages:系统和服务错误信息
secure:安全日志,用户和用户组的变化情况、用户登录认证情况
btmp:记录登录失败的用户、时间及尝试登录时使用的IP等信息
syslog:只记录警告信息,主要是系统出问题的信息,可通过lastlog命令查看
wtmp:永久记录了每个用户登录、注销及系统的启动、停机的事件,可使用last命令查看。
utmp:记录了有关当前登录的每个用户的信息,如who、w、users、finger等就需要访问这个文件。
任务三:PAM可插拔验证模块
PAM(Plugable Authentication Module,可插拔验证模块)是由Sun提出的一种认证机制。管理员通过它可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系统中添加新的认证手段。不少应用软件都可以与PAM进行集成,当然,操作系统的登录验证过程也可以通过对PAM进行配置来进行。如指定密码复杂性、指定用户试图登录的失败次数等,以下列出对这些账号的安全性配置。
1. 指定密码复杂性
修改/etc/pam.d/system-auth配置:(注意:在root用户下进行,其余用户对这个文件只有读的权限)
vi /etc/pam.d/system-auth
限制密码最少有:2个大写字母,3个小写字母,3个数字,2个符号
文件中有一行为:
password requisite pam_cracklib.so try_first_pass retry=3
在其后追加如下参数:
ucredit=-2 lcredit=-3 dcredit=-3 ocredit=-2
2. 验证时若出现任何与pam_tally有关的错误则停止登录
auth required pam_tally.so onerr=fail magic_root
3. 账号验证过程中一旦发现连续5次输入密码错误,就通过pam_tally锁定此账号600秒
account required pam_tally.so deny=5 lock_time=600 magic_root reset
然后输入:WQ:W是write,写入,Q是退出
验证:
新建一个用户user1 并且配置密码,输入密码不符合要求需要重新输入,达到最大次数则不能继续输入。
心得体会
通过这次试验我掌握了linux管理账户的基本命令并且了解了linux用户管理的一般原则;
分析与思考
开启防火墙,仅开启必要端口
关闭不必要的服务
清除不必要的系统账户
使用特定账户开启特定服务,尽量不使用root
禁止root远程登陆
修改ssh协议端口号
更改系统信息,不要显示系统版本、内核版本等
设定连续失败次数锁定账户
2)比较一下linux账户跟unix账户管理的异同。