賬號安全控制的基本措施

如何對系統(tǒng)賬號進行清理

系統(tǒng)賬號的清理

• 將非登錄用戶的shell設(shè)為/sbin/nologin

usermod -s /sbin/nologin 用戶名（設(shè)置為不可登錄）

• 鎖定長期不適用的賬號
  • usermod -L 用戶名
  • passwd -l 用戶名
  • passwd -S 用戶名
• 刪除無用賬號
  userdel [-r] 用戶名（-r選項刪除用戶家目錄）
• 鎖定賬號文件passwd（用戶配置文件）、shadow（用戶密碼文件）
  • chattr +i /etc/passwd /etc/shadow【即鎖定用戶賬戶信息/用戶密碼信息，無法增刪改查用戶信息】
  • chattr -i /etc/passwd /etc/shadow【即解鎖用戶配置文件】
  • lsattr /etc/passwd /etc/shadow【查看鎖定文件并查看狀態(tài)；用于查看文件是否被鎖定】
• PS：chattr可用于鎖定大部分的文件
  

密碼的安全控制

設(shè)置密碼有效期（chage命令）

1. chage -M [用戶名]

2. chage -d 0 [用戶名]

該命令強制用戶下次登陸時修改密碼

我們?nèi)允褂脄hangsan用戶做例子：

完成后在圖形界面登錄zhangsan用戶

chage -d命令后面跟的數(shù)字為0屬于特殊含義，代表強制用戶下次登陸時修改密碼；如果為普通數(shù)字該命令含義為該用戶最后一次修改密碼的時間，該命令后面也可以跟具體時間如“2008-8-8”代表最后一次修改密碼的時間為1970-1-1到2008-8-8期間的總天數(shù)

命令歷史限制

如何查看命令條目

history命令

ctrl+R組合鍵
該組合鍵可以搜索之前操作命令的關(guān)鍵詞

如何減少記錄的命令條數(shù)？

修改環(huán)境變量配置文件

我們首先要知道歷史命令的配置文件在 /etc/profile中，我們可以修改這個環(huán)境變量配置文件限制命令顯示的條目數(shù)

history -c 命令

該命令只用于臨時清空所有命令記錄，重啟后之前操作仍然可見

登陸時自動清空命令歷史

編輯~/.bash_profile文件

該文件編輯效果為當(dāng)前用戶開機后首次登陸系統(tǒng)時會執(zhí)行一次編輯的命令

切換用戶和對用戶進行授權(quán)

su命令

su命令的用途：Substitute User，切換用戶

格式：su - [目標(biāo)用戶名].

如果su直接后面跟切換的用戶名，會在之前用戶所在的目錄直接進行切換，如果是su - [目標(biāo)用戶名]，切換用戶后，目標(biāo)用戶將在自己的家目錄下：

Linux中的PAM安全認證

PAM（Pluggable Authentication Modules）是一種插入式認證模塊，是一種高效而且靈活便利的用戶級別的認證方式，也是當(dāng)前Linux服務(wù)器普遍使用的認證方式。使用PAM認證模塊可以加強su命令的使用控制，只允許個別用戶使用su命令進行切換。

PAM認證的構(gòu)成
查看某個程序是否支持PAM認證，我們可以使用ls命令查看

舉例：比如我們想查看su命令是否支持PAM認證模塊，我們可以查看PAM的配置文件進行過濾：

• 如上圖所示，每一行都是一個獨立的認證過程

• 每一行可以區(qū)分為三個字段

  • 認證類型
    
  • 控制類型

使用sudu機制給其他用戶進行提權(quán)

sudo令的用途以及方法

sudo命令用途：以其他用戶身份（如root）執(zhí)行收授權(quán)的命令

格式：sudo [命令]

從上圖可以看到，在我們沒有授予普通用戶相關(guān)權(quán)限時，我們普通用戶無法擁有root超級管理員的權(quán)限去進行一些操作，所以我們要給普通用戶提權(quán)才能進行操作

如何配置sudo授權(quán)

sudo的授權(quán)有2種方式（兩種操作方式均能進入用戶權(quán)限的配置文件，且都需要在root超級管理員用戶下進行操作）

• visudo
• vi /etc/sudoers（此文件默認權(quán)限為440，保存時需要使用wq！強制保存）

啟用sudo的操作日志

1. visudo或者vi /etc/sudoers
2. 在配置文件中寫入Defaults logfile =“/var/log/sudo”(代表將sudo的操作日志存入該路徑的文件中）

開關(guān)機的安全控制

調(diào)整BIOS引導(dǎo)設(shè)置

• 第一引導(dǎo)設(shè)備設(shè)為當(dāng)前系統(tǒng)所在硬盤
• 禁止從其他設(shè)備（光盤、U盤、網(wǎng)絡(luò)）引導(dǎo)系統(tǒng)
• 將安全級別設(shè)為setup，并設(shè)置管理員密碼

GRUB限制

使用grub2-mkpasswd-pbkdf2生成密鑰

從上方兩張圖片我們可以看到在我們開啟系統(tǒng)時可以在引導(dǎo)菜單中按“e”進行我們相關(guān)啟動項的更改。如果修改不當(dāng)，容易導(dǎo)致我們的系統(tǒng)無法啟動。所以在工作環(huán)境中，我們要避免所有人都可以進行這方面內(nèi)容的修改，進行加密來限制其他用戶。

修改/etc/grub.d/00_header文件，添加密碼記錄

接下來我們需要修改我們的默認參數(shù)文件（vim /etc/grub.d/00_header）：

生成新的grub.cfg配置文件

我們設(shè)置完默認參數(shù)文件后，要重新生成一個新的grub.cfg配置文件，來使之前的配置生效，文件位置：/boot/grub2

終端登錄安全控制

限制root只在安全終端登錄

安全終端配置：/etc/securetty

我們直接編輯終端配置文件：

我們將tty1，tty2，tty3全部禁用（即禁止root用戶從tty1，tty2，tty3的終端進行登錄），使用"#"在字符前進行注釋，之后我們使用ctrl+alt+F1-F5的組合鍵進行終端的切換，查看是否可以進行切換：

禁止普通用戶進行登錄

命令：touch /etc/nologin

我們使用該命令后，使用普通用戶進行登錄：

如果我們需要取消普通用戶登錄限制：

命令：rm -rf /etc/nologin 即將限制登錄文件刪除：

文章來源地址http://www.zghlxwxcb.cn/news/detail-498922.html

到了這里，關(guān)于Linux系統(tǒng)用戶安全(如何給其他用戶授權(quán)）及引導(dǎo)登錄的控制的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！