5.1Linux安全防护之账号安全控制

系统安全基础应用

一 账号安装控制

·系统账号清理

1将非登录用户的Shell设为/sbin/nologin

[root@mazi ~]# usermod -s /sbin/nologin lisi

2删除无用的账号

[root@mazi ~]# userdel -r mazi -r连同宿主目录一起删除

3锁定长期不使用的账号

[root@mazi ~]# usermod -L maz //锁定

[root@mazi ~]# passwd -S maz //查看状态

maz LK 2013-08-19 0 99999 7 -1 (Password locked.)

[root@mazi ~]# usermod -U maz //解锁

[root@mazi ~]# passwd -S maz

maz NP 2013-08-19 0 99999 7 -1 (Empty password.)

4锁定账号文件passwd、shadow

锁定一个文件，不能对此文件做任何操作；锁定之后就不能执行创建用户和修改密码的操作

锁定和查看

解锁和查看

·密码安全机制

1设置密码有效期（默认为99999天）

方法一：修改配置文件，修改之后所有新建的用户将应用，之前存在的用户不变

方法二：直接对已创建的用户进行更改

2要求用户下次登录时修改密码

·命令历史限制

Shell环境的命令历史记录机制会记录之前使用过的1000条最近命令，如果有明文密码记录，这也是不安全因素；因此需要限制显示条数和系统注销时自动清空记录

限制显示条目

方法一：修改配置文件，修改之后对重新登录的用户有效

方法二：直接生效设置

注销时自动清空历史记录条目

在/root/.bash_logout脚本中的命令会在注销时自动执行，所以可以将history -c添加进去 清除历史条目

·终端自动注销

当指定时间用户没有任何操作则自动注销终端

方法一：修改配置文件；用户重新登录生效；手动输入命令

方法二：直接配置生效

二 用户切换与提权

·Su命令切换用户

是用su命令可以切换为一个指定的用户，同时拥有该用户的所有权限，切换时需要指定用户的密码；但是root用户切换其他用户时可不需要密码

格式：su - 目标用户 “-”=“--login”=“--l”表示切换后使用目标的登录shell，如果省略则仅切换身份，不切换环境

切换和退出示例

限制使用su命令的用户： 默认情况下所有用户都可以使用su命令，启用pam_wheel认证模块，可以只让wheel组的用户使用su命令

修改配置文件，启用认证：认证默认设置好的，只需将注释变为命令即可

将授权用户添加到wheel组

添加到wheel组里的用户可以正常使用su命令，没有添加进组的用户在切换其他用户时提示需要输入密码，但是即使输入正确的密码也会提示错误

查看su操作记录

使用su命令切换用户的操作都将会记录到安全日志/var/log/sercure文件中

·sudo机制提升用户权限

第一种机制：以其他用户的身份执行某个命令

第二种机制：普通用户登录后没有多少权限，甚至没有查看IP的权限；

Root用户通过修改配置文件/etc/sudoers来给指定用户授权；因为此文件的默认权限为400比较低，因此即使root用户修改后也需要使用“w!”来强行保存退出；也可以种专门的visdo工具修改；否则不能保存；修改格式：用户名 主机名=命令的完全路径1，….2

用户：需要授权的用户；如果是需要授权的组，采用”%组名“的形式

主机：设置为自己的主机名

命令：需要授与的权限命令的完全路径，多个命令之间用逗号隔开

注：一般一行一条授权记录

如让lisi用户能查看IP地址（默认普通用户不能查看）使用visudo等同于vi /etc/sudoers

切换到lisi用户进行测试，命令前需要加sudo，而且需要绝对路径；第一次使用时需要自己的密码验证；第二次命令如果超过五分钟就需要再次密码验证

也可以将用户添加到wheel组，设置为所有主机都可以不需要密码验证让用户拥有所有权限

也可以使用通配符*、取反符！，当需要某个目录下所有命令并取消个别时可用到

syrianer localhost=/sbin/*,!/sbin/ifconfig,!/sbin/route

·查看sudo操作记录

默认情况下sudo的操作不会被记录，需要手动添加启用；在Defaults行添加

查看日志

·查看sudo的授权列表