centOS7賬戶安全控制(一)

今天講的是Linux里的賬號安全控制

用戶賬號，是計算機使用者的身份憑證和標識，每一個要訪問系統資源的人，必須憑證借其用戶賬號才能進入計算機。

系統賬號清理

在Linux系統中，除了用戶手動創建的各種賬號之外，還包括隨系統或程序安裝過程中而生成的其他大量賬號。除了超級用戶root之外，其他大量賬戶只是用來維護系統運作、自動或保持服務進程，一般是不允許登錄的，因此也稱為非登錄用戶。

1、首先輸入grep "bash" /etc/passwd 查看有哪些用戶可以登錄當前的服務器。

2、創建新用戶lisi，輸入useadd lisi 敲擊回車，接著輸入passwd ilsi 設置密碼。

3、接下來我們要做的就是如何對我們useradd這個文件進行控制，輸入lsatt /etc/passwd /etc/shadow，看看文件是否有鎖住。

4、現在需要給文件上鎖，輸入

chattr +i /etc/passwd /etc/shadow/

5、這時候我們再到文件已經上鎖，用useradd看看是否可以創建用戶，再輸入tail -5 /etc/passwd 看看有沒有創建成功。

6、可以看到用戶創建失敗，接下來進行解鎖輸入

chattr -i /etc/passwd /etc/shadow

7、可以看到文件屬于解鎖狀態了，接下來我們新建用戶試試看是否成功。

密碼安全控制

在不同的網絡環境中，為了降低密碼被猜出或者被暴力破解的風險，用戶應養成更改密碼的習慣，避免長期使用一個密碼。管理員可以在服務器端限制用戶密碼的最大有效天數，對于密碼已過期的用戶，登錄將被要求重新設密碼，否則將拒絕登錄。

1、輸入vim etc/shadow 查看賬戶的密碼文件。

2、可以看到其中root和一些已存在用戶的密碼有效期是永久，接下來我們在配置文件里修改已存在用戶，輸入vim /etc/login.defs，進入可以看到全是密碼屬性，按"/“輸入99999查找到該位置，dw刪除，按"a"將密碼最長有效期修改為30天，wq保存退出。

3、進入剛才的密碼文件看看是否修改成功。

4、這時候新添加個用戶，再進入密碼文件最長有效期是不是30天。

5、輸入chage -M 30 wangwu ，進行以創建的用戶修改有效期。

6、接下來就是用chage -d 0指定用戶下次登錄時修改密碼。

7、這時候我們輸入一個新密碼會發現并不可以登錄。

8、我們再輸入一個復雜性的密碼看看，是否可以。

9、發現還是失敗了，因為它的不允許使用連續的字符和連續的阿拉伯數字。

命令歷史、自動注銷

Shell環境的命令歷史機制為用戶提供了極大的便利，但另一方面也給用戶帶來了潛在的風險。只要獲得用戶的命令歷史文件，該用戶的命令操作過程將會一覽無余，如果曾經在命令行輸入明文的密碼，則無意之中服務器的安全壁壘又多了一個缺口。
1、輸入history查看輸入過的歷史命令記錄。

2、通過修改/etc/profile文件中的環境變量值，可以影響系統中的所有用戶。

3、其中歷史命令的記錄條數默認為1000條，我們按“/”查詢，Shift+R進行替換，輸入20，wq退出保存，修改命令歷史記錄為20條。

4、輸入history查看是否顯示歷史命令20條。

5、可以發現修改保存退出之后也沒有執行，這時候輸入source /etc/profile，再看看是否可以。

當每次修改完環境變量之后，如果不想重啟的話一定要輸入source /etc/profile 讓它生效。

1、在每個用戶里都有一個環境變量配置文件，輸入cd /home/zhanngsan,可以看到用戶環境變量配置文件。

2、輸入vim .bash_logout，進入配置文件。

3、在配置文件中輸入history -c clear wq保存退出，這樣每次注銷了之后就會清空歷史命令。

自動注銷
Bash環境終端中，還可以設置一個閑置超時時間，當超過指定的時間沒有任何輸入時即自動注銷終端。
1、輸入vim /etc/profile進入配置文件。

2、閑置超時由變量TMOUT來控制，默認單位為秒，在配置文件中操作TMOUT會發現沒有這個指令。

3、按“o"輸入export TMOUT=200，wq保存。

4、再輸入source /etc/profile 執行。

然后我們之后只要超過200秒系統客戶端就會自動注銷。

用戶切換與提權

大多數Linux服務器并不建議用戶直接以root用戶直接登錄。一方面可以大大減少因失誤而導致的破壞，另一方面也降低了特權密碼在不安全的網絡中被泄露的風險。鑒于這些原因，需要為普通用戶體提供一種身份切換或權限提升機制，以便在必要的時候執行權限。
su命令——切換用戶
使用su命令，可以切換為指定的另一個用戶，從而具有該用戶的所有權限。
1、這時候我們用普通用戶登錄輸入su root 切換管理員身份。

2、輸入grep "bash$" /etc/passwd查看有可以登錄的用戶。

3、用su可以在用戶間來回切換。

默認情況下，任何用戶讀允許使用su命令，從而有機會反復嘗試其他用戶的登錄密碼，帶來安全風險。為了加強su命令的使用控制，可以借助pam_wheel認證模塊，只允許極個別用戶使用su命令進行切換。
4、可以看出只要是知道root的密碼就都可以切換至root輸入密碼進入，我們接下來講的就是指定用戶切換root。
輸入vim /etc/pam.d/su進入配置文件。

移動至#auth處，輸入dw刪除#開啟wheel，輸入wq保存并退出。

輸入vim /etc/group 查看wheel相對應的用戶是什么。

輸入id akg查看用戶是否被默認添加到wheel里

現在添加用戶bose看看bose可不可以切換root用戶。

我們可以看到拒絕權限，現在bose就不可以切換用戶，接下來輸入gpasswd -a bose wheel 添加到wheel里，再進行用戶切換。

sudo命令——提升執行權限
通過sudo命令可以讓普通用戶擁有一部分管理權限，有需要將root的用戶密碼告訴它，不過需要由管理員預先進行授權，指定允許哪些用戶以超級用戶的身份來執行哪些命令。
1、輸入vim /etc/sudoers就可以進入配置文件。

2、我們之前已經把akg和bose用戶都添加到了wheel組里了，進入配置文件看到wheel允許所有用戶以超級用戶的身份來執行所有命令。

3、新創建用戶lisi。

4、輸入id lisi 可以看到lisi不屬于wheel組。

5、現在我們切換lisi用戶登錄，登錄之后我們使用看看是否可以修改ip地址，右擊打開終端，輸入ipconfig ens33 192.71.140。

6、發現并不可以修改ip地址，輸入which ifconfig查看該命令在哪個目錄里。

7、ipconfig的命令在/sbin/里，輸入sudo ifconfig 192.168.71.140，就可以修改ip地址，會提示讓我們輸入用戶密碼。

8、但是輸入密碼之后會提示我們不在sudoers當中。

9、剛才我們的bose和akg都在wheel組中，現在點擊注銷切換用戶，現在我們輸入sudo ifconfig ens33 192.168.71.140，修改ip地址。

10、如果我們想讓lisi用戶也可以修改ip地址的話也是有辦法的，首先切換用戶至root，輸入vim /etc/sudoers進入配置文件在Host Aliases這一欄空白處寫入:lisi(用戶)localhost(主機名)=/sbin/ifconfig(使用sbin里的ifconfig命令)，wq保存退出。

11、退出保存之后切換到isi用戶，輸入sudo ifconfig ens33 192.168.71.139,我們可以看到lisi也可以修改ip地址。

PAM安全認證

PAM是Linux系統中可插拔認證模塊，Linux系統使用su命令存在安全隱患，默認情況，任何情況下，任何用戶都允許使用su命令，從而有機會反復嘗試其他用戶的登錄密碼，帶來安全風險。
為了加強su命令的使用控制，可以借助PAM認證模塊，只允許極個別用戶使用su命令進行切換。
1、PAM及其作用
(1)、PAM是一種高效而且靈活便利的用戶級別認證方式，它也是當前Linux服務器普遍使用的認證方法。
(2)、PAM提供了對所有服務進行認證的中央機制，適用于login,遠程登錄，su等應用程序。
(3)、系統管理員通過PAM配置文件來制定不同應用程序的不同認證策略。
PAM認證原理
(1)、PAM認證一般遵循的順序：Service(服務)—>PAM(配置文件)—>pam_*.so

(2)、PAM認證首先要確定哪一項服務，然后加載相應的PAM配置文件(/etc/pam.d下)，最后調用認證文件進行安全認證。
(3)、用戶訪問服務器的時候，服務器的某一個服務程序把用戶的請求發送到PAM沒模塊進行認證。不同的應用程序所對應的PAM模塊也是不同的。
PAM認證的結構

(1)每一行都是一個獨立的認證過程
(2)每一行可以區分為三個字段：
1)認證類型
2)控制類型
3)PAM模塊及其參數