账号安全、su命令、PAM认证、sudo命令 Linux——系统安全及应用 _认证

Linux——系统安全及应用（账号安全、su命令、PAM认证、sudo命令）二、使用su命令切换用户三、Linux中的PAM安全认证 5、控制标记地补充说明6、PAM验证流程四、使用sudo机制提升权限
一、账号安全基本措施 1、系统账号清理
----将非登录用户的Shell设为/sbin/nologin（禁止用户登录）-----usermod -S /sbin/nologin 用户名------锁定长期不使用的账号-----usermod -L 用户名passwd -l 用户名passwd -S 用户名-----删除无用的账号-----userdel [-r] 用户名----锁定账号文件passwd、shadow----锁定文件并查看状态chattr +i /etc/passwd /etc/shadowlsattr /etc/passwd /etc/shadow解锁文件chattr -i /etc/passwd /etc/shadow
2、密码安全控制要求用户下次登陆时修改密码
-----修改密码配置文件适用于新建用户-----[root@localhost ~]# vi /etc/login.defs##修改密码配置文件......PASS_MAX_DAYS 30-------适用于已有用户------[root@localhost ~]# chage -M 30 lisi##直接修改有效期[root@localhost ~]# cat /etc/shadow | grep lisi[root@localhost ~]# chage -d 0 zhangsan##强制在下次登录时更改密码[root@localhost ~]# cat /etc/shadow | grep zhangsan##shadow文件中的第三个字段被修改为0
3、命令历史限制
[root@localhost ~]# vi /etc/profileexport HISTSIZE=200[root@localhost ~]# source /etc/profile[root@localhost ~]# vi ~/.bashrcecho"" > ~/.bash_history
4、终端自动注销
[root@localhost ~]# vi /etc/profile......export TMOUT=600##设置注销时间为600秒[root@localhost ~]# source /etc/profile##重新加载配置文件
二、使用su命令切换用户 1、用途及用法2、密码验证
[jerry@localhost ~]$ su - root##带-选项表示将使用目标用户的登录Shell环境口令:[root@localhost ~]# whoamiroot
3、限制使用su命令的用户
[root@localhost ~]# gpasswd -a tsengyia wheeltsengyia正在将用户"tsengyia "加入到"wheel”组中#在/etc/pam.d/su文件里设置禁止用户使用su命令[root@localhost ~]# vi /etc/pam.d/su#%PAM-1.0authsufficient pam rootok.so.........authrequiredpam_ wheel.so use_ _uid.........
gpasswd -a zhangsan wheel##添加授权用户zhangsan 到wheel组中groups zhangsanvim /etc/pam.d/suauth required pam_ wheel.so use_ uid##去掉此行开头的注释启用pam_wheel认证以后，未加入到wheel组内的其他用户将无法使用su命令
4、查看su操作记录三、Linux中的PAM安全认证 1、su命令的安全隐患2、PAM()可插拔式认证模块3、PAM认证原理首先要确定哪一项服务，然后加载相应的 PAM 的配置文件(位于 /etc/pam.d 下)，最后调用认证文件(位于 /lib64/ 下)进行安全认证用户访问服务器时，服务器的某一个服务程序把用户的请求发送到 PAM 模块进行认证不同的应用程序所对应的 PAM 模块是不同的如果想要查看某个程序是否支持 PAM 认证，可以使用 ls 命令，进行查看 /etc/pam.d/ 4、每行认证的名称
PAM的配置文件中的每一行都是一个独立的认证过程，它们按从上往下的顺序依次由PAM模块调用。
第一列代表PAM认证模块类型选项说明
auth
对用户身份进行识别，如提示输入密码，判断是否为root
对账号各项属性进行检查，如是否允许登录系统，账号是否已经过期，是否到达最大用户数等
使用用户信息来更新数据，如修改用户密码
定义登录前以及退出后所要进行的会话操作管理，如登录连接信息，用户数据的打开和关闭，挂载文件系统