目录
PAM(Pluggable Authentication Modules)可插拔式认证模块
查看su的PAM配置文件:cat letc/pam.d/su
控制类型也称做Control Flags,用于PAM验证类型的返回结果。
账号安全控制
系统账号清理
将非登入用户的Shell设为/sbin/nologin (程序账号)
锁定长期不使用的账号
删除无用的账号
锁定文件账号passwd、shadow
[root@localhost~]# chattr +i /etc/passwd /etc/shadow
[root@localhost~]# lsattr /etc/passwd /etc/shadow
----i---------- /etc/passwd
----i---------- /etc/shadow
示例
先创建一个用户并更改密码

查看状态

锁定文件并查看状态

此时我们是无法使用useradd命令的

然后我们解锁,再试试创建用户。此时应该是能行的

然后我们删掉一些用户锁住另一个再试一次

此时也是无法使用useradd的

我们解锁/etc/shadow

此时是可以创建的

此时我们可以发现无论是锁住/etc/passwd或者/etc/shadow他都使用不了useradd命令。
密码安全控制
设置密码有效期
要求用户下次登录时修改密码
[root@localhost ~]# vim /etc/login.defs 适用于新建用户
……
PASS_MAX_DAYS 30
[root@localhost ~]# chage -M 30 lisi 适用于已有用户
[root@localhost ~]# chage -d 0 zhangsan 强制在下次登入时更改密码
![]()
/etc/login.defs (适用于新建的用户才生效)

PASS_MAX_DAYS:设置密码有效期
PASS_MIN_DAYS:表示自上次修改密码以来最少间隔多少天,用户才能再次修改密码
PASS_MIN_LEN:密码最小长度 (生产环境中最小为18位)
PASS_WARN_AGE:密码还有七天到期(提前七天进行提醒)
修改密码有效期



记住一定要先设置在创建用户然后更改密码

还有另一种方式设置密码有效期:
先创建一个新的用户并更改密码


命令历史限制
减少记录的命令条数
注销时自动清空命令历史
终端自动注销
闲置600秒后自动注销
[root@localhost ~]#f vi letc/profile
HISTSIZE=200
[root@localhost ~]# vi ~l.bash_logout
history -c
clear
减少命令条数的示例
查看历史命令条数
![]()

超过两百条的历史命令会自动覆盖
设置步骤
进入编辑页面
![]()
找到HISTSIZE

更改数据

保存、退出、查看

[root@localhost ~]# vi ~l.bash_logout (登出系统的配置文件)
history -c
clear
清除用户历史命令记录示例
进入一个用户
![]()
查看历史命令

进入编辑页面
![]()
编辑命令,保存并退出

登出用户
![]()
永久删除历史命令的方法
进入用户

删除上一个方法的命令然后登出,然后再次登入

进入编辑页面
![]()
编辑命令

在另一个窗口中打开,并输入history查看

启动顺序:
用户登录-》加载~/.bash_profile --》bash_profile中的配置首先是使 ~/.bashrc生效
用户登出--》.bash_logout 运行logout配置文件
终端自动注销实例
![]()
保存并退出

刷新一下才会生效

使用su命令切换用户
用途及用法
用途:Substitute User,切换用户
格式:su - 目标用户
注:切换到任何目录都需要密码
密码验证
oroot→任意用户,不验证密码
普通用户→其他用户,验证目标用户的密码
[ljerry@localhost ~]$ su - root_ (带-选项表示将使用目标用户的登录Shell环境)
口令:
[root@localhost ~]# whoami
root
su - :切换到宿主目录
su :切换到当前目录
切换用户示例

限制使用su命令的用户
将允许使用su命令的用户加入wheel组
启用pam_wheel认证模块
[root@localhost ~]# gpasswd -a tsengyia wheel
tsengyia
正在将用户“tsengyia"加入到“wheel"组中
[root@localhost ~]# viletc/pam.d/su
#%PAM-1.0
auth sufficient pam_rootok.so
auth required pam_wheel.so use_uid
创建用户并设置密码,打开编辑页面
![]()
开启PAM认证(删除#开启)
![]()
![]()
( 启用required pam认证,未加入到wheel组的无法使用use命令)
然后保存并退出

查看组信息
![]()

本文详细介绍了Linux系统中的安全控制措施,包括账号安全控制、密码管理、命令历史限制、终端自动注销、su命令使用与PAM安全认证。此外,还讲解了使用sudo提升权限的优缺点和配置,以及如何通过开关机安全控制、终端登录限制和系统弱口令检测来增强系统安全性。同时,文章探讨了网络端口扫描工具NMAP的使用,以确保网络端口安全。
2548

被折叠的 条评论
为什么被折叠?



