讲中国历史,看历史知识,尽在讲历史网
您的位置:  > 世界历史

如何保障账号安全?锁定账号文件的基本措施与操作指南

2024-08-15 02:06:41 来源:古今历史网_历史故事_历史知识分享平台 责编:admin

内容概要

1、账号安全的基本措施 1、账号锁定

锁定账号文件passwd、shadow:

chattr +i /etc/passwd /etc/shadow //锁定文件

lsattr /etc/passwd /etc/shadow //查看状态

chattr -i /etc/passwd /etc/shadow //解锁文件

先通过lsattr来查看当前的passwd和shadow两个文件的状态,再通过chattr +i 这个命令来锁定passwd和shadow这两个文件,再查看一下,已经发现锁定成功。

在这里插入图片描述

我们通过 useradd 来新建一个用户,显示无法打开,因为已经被锁定了。

在这里插入图片描述

解锁这两个文件使用 chattr -i 来完成:

在这里插入图片描述

2、密码控制

我们可以通过密码控制来设置密码有效期,还可以要求用户下次登陆时要修改密码。

vi /etc/login.defs //直接修改密码配置文件,适合新建用户

chage -M 30 lisi //适用于已有用户

chage -d 0 zhangsan //强制在下次登陆时修改密码

在这里插入图片描述

修改/etc/login.defs配置文件,下次创建新用户默认为这样的设置

在这里插入图片描述

直接修改已经有的 lisi 这个用户,有效期设置为30天,通过cat查看,第五个字段为密码有效时间。

在这里插入图片描述

修改 lisi 用户下次登录必须修改密码

在这里插入图片描述

3、清空历史命令记录

减少记录的命令条数:

vi /etc/profile

export HISTSIZE=200 //等于两边不能有空格。用来控制最多记录200条历史命令。

source /etc/profile //设置完后一定要刷新profile

登陆时自动清空历史命令:

vi ~/.bashrc

echo “” > ~/.bash_history //输入一个空字符进入bash_history这个文件中,>为输入重定向,如果文件存在,就覆盖其中内容。

终端闲置300秒后自动注销:

vi /etc/profile

export TMOUT=300 //自己手敲

source /etc/profile

通过 history 命令可以看到目前我的历史命令已经有1000+了。

在这里插入图片描述

减少记录的命令条数,默认为1000,我们设置为50。然后刷新,发现历史命令从951开始,最多记录50条。。

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

登陆时自动清空命令历史:

进入bash_history这个文件查看时有历史记录的,我们可以直接在这里面删除掉所有文件,也可以在外面输入一个空字符覆盖到这个文件中,我们最好进入到 ~/.bashrc 这个文件中写,让每次开机之后都清空历史命令。

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

终端闲置300秒后自动注销:

进入到profile中修改配置文件,要自己手动输入,输入完之后,要source刷新一下。

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

2、切换用户命令

利用su来切换用户,然后可以通过 whoami 来查看当前时哪个用户。

root 用户切换到普通用户的时候,不用验证密码。

普通用户到其他用户,需要验证密码。

1、限制使用su命令的用户

一般来说,我们不设置限制的话,普通用户也能够登录到 root 用户中,我们不希望某些普通用户可以登录到 root 用户中,就可以进行设置。

步骤:1、将允许使用 su 命令的用户加入wheel组

2、启用pam_wheel认证模块

vim /etc/pam.d/su

然后将第6行的注释取消。

如果开启第一行,注释第二行(默认状态)是允许所有用户间使用 su 命令进行切换。

两行都注释也是所有用户可以使用 su ,但是 root 下使用 su 切换到其他普通用户需要输入密码;如果第一行不注释,则 root 使用 su 切换普通用户就不需要输入密码了。

如果开启第二行,表示只有 root 用户和 wheel 组内的用户才可以使用 su 命令

如果注释第一行,开启第二行,表示只有 wheel 组内的用户才能使用 su 命令,root 用户也被禁用 su 命令。

假如我信任普通用户zhangsan,允许他登录到 root 用户当中,可以将zhangsan 加入 wheel 组中。

在这里插入图片描述

然后我们 vim /etc/pam.d/su 进入,将第6行取消注释。

在这里插入图片描述

然后我们再登录 lisi 这个用户,su root 来试试看,lisi 这个用户被限制使用 su了 ,su 直接不可用了,如果想恢复使用,将 lisi 加入到 wheel 组中就可以。

在这里插入图片描述

sudo机制提升权限

用途:以其他用户身份(如root)执行授权的命令

用法:sudo 授权命令

配置sudo:

visudo或者 /etc/sudoers

记录格式

用户 主机名=命令程序列表

在这里插入图片描述

例子:Tom ALL=/sbin/ifconfig

Tom为用户

ALL为所有主机

/sbin/ifconfig为命令程序

例子2:Jerry localhost=/sbin/* , ! /sbin/reboot, ! /sbin/poweroff

#通配符"“*“表示所有、取反符号”!”表示排除,上面的意思是可以使用/sbin/下的所有命令,但是除了/sbin/reboot和/sbin/poweroff不能使用。

我们进入vim /etc/sudoers来设置,给zhangsan用户设置sudo权限,

在这里插入图片描述

目前还是不能使用ifconfig

在这里插入图片描述

我们可以在命令前面加上sudo

在这里插入图片描述

在这里插入图片描述

每次执行 sudo 命令都需要输入密码(5分钟之内再次输入sudo命令则不需要,超过五分钟就属于超时,需再次登录密码),我们也可以在vim /etc/sudoers里面设置,一般默认就有,取消注释即可,然后要把上面的注释掉。NOPASSWD:ALL就代表不需要输入密码。

在这里插入图片描述

设置别名来控制 sudo 提升权限

当需要设置不同的用户创建 sudo 权限,不可能一个用户一个用户的去设置,可以将多个用户放在一个别名当中,主机也照样可以。

使用关键字 User_Alias、Host_Alias、Cmnd_Alias来进行设置别名(别名必须要大写)

User_Alias USERS=luwei,lisi,wangwu

Host_Alias HOSTS=ALL

Cmnd_Alias CMNDS=/sbin/ifconfig,/usr/sbin/useradd

USERS HOSTS=CMNDS

USERS HOSTS=NOPASSWD:CMNDS

在这里插入图片描述

如果你不想执行sudo 时输入密码,可以在组后面加上要给NOPASSWD

在这里插入图片描述

切换到luwei 用户,来创建一个用户,如果不加上sudo时,会提示权限不够。

在这里插入图片描述

再切换到 lisi 用户,来试一下 init 命令,会提示没有权限,因为我上面设置了除了/sbin/init 的其他命令。

在这里插入图片描述

查看sudo的操作记录

1、需启用Defaults logfile配置

vim /etc/sudoers

Defaults logfile = “/var/log/sudo”

2、默认日志文件:/var/log/sudo

只有启动日志配置以后,sudo操作过程才会被记录

在这里插入图片描述

总结

可以通过chattr +i来锁定文件,然后通过lsattr来查看文件状态,chattr -i来解锁文件。

想在创建新用户的时候来控制密码有效期,直接进入配置文件 vi /etc/login.defs去修改,如果想修改已创建的用户的密码有效期,通过chage -M 30 lisi,需要下次登陆时提示修改密码使用:chage -d 0 zhangsan。

减少历史命令条数,进入配置文件 vi /etc/profile修改export HISTSIZE,登陆时自动清空历史命令,需要进入 vi ~/.bashrc 进行修改,echo “” > ~/.bash_history。终端闲置多少秒之后自动注销,进入vi /etc/profile手动输入一个export TMOUT,然后再source刷新一下。

可以利用su 来切换用户,如果不想让其他用户来使用su 命令,可以进入配置文件 vim /etc/pam.d/su然后注释掉第六行,这样表示只有root用户和wheel组内的用户可以使用su 命令。

sudo 命令可以授权命令,格式:sudo 授权命令。配置sudo 有两种方法,visudo或者vim /etc/sudoers。设置不同用户创建sudo 权限,可以使用别名,将多个用户放在一个别名中。

古今历史网_历史故事_历史知识分享平台 https://www.yuzhubaobao.com/ ICP备案:鲁ICP备2024097632号-1 网站地图