Linux系统安全及应用peiqy

usermod-L用户名passwd-l用户名passwd-S用户名1.3删除无用的账号

userdel[-r]用户名1.4锁定账号文件passwd、shadow

2、密码安全控制

设置密码有效期

2.1适用于新建用户（不会影响以前的以前的用户）

2.2适用于已有用户

注：必须更改密码，而且不能设置太过简单

3、命令历史限制

3.1减少命令的记录条数

3.3终端自动注销

二、使用su命令切换用户

1、su命令用途及用法

2、密码验证

3、限制使用su命令的用户

将允许使用su命令的用户加入wheel组

启用pam_wheel认证模块

4、查看su操作日志

安全日志文件：/var/log/secure

三、Linux中的PAM安全认证

1、su命令的安全隐患

2、PAM（PluggableAuthenticationModules）可插拔式认证模块

3、PAM认证原理

4、PAM认证的构成

4.1查看某个程序是否支持PAM认证，可以用Is命令

ls/etc/pam.d|grepsu//查看su是否支持PAM模块认证4.2查看su的PAM配置文件∶cat/etc/pam.d/su

第一列：代表PAM认证模块类型

auth∶对用户身份进行识别，如提示输入密码，判断是否为root。

password∶使用用户信息来更新数据，如修改用户密码。

第二列：代表PAM控制标记

reguired∶表示需要返回一个成功值，如果返回失败，不会立亥将失败结果返回，而是继续进行同类型的下一一验证，所有此类型的模块都执行完成后，再返回失败。

requisite∶与required类似，但如果此模块返回失败，则立刻返回失败并表示此类型失败。

sufficient∶如果此模块返回成功，则直接向程序返回成功，表示此类成功，如果失败，也不影响这类型的返回值。

optional∶不进行成功与否的返回，一般不用于验证，只是显示信息（通常用于session类型）。

第三列：代表PAM模块，默认是在/1ib64/security/目录下，如果不在此默认路径下，要填写相对路径。

同一个模块，可以出现在不同的模块类型中，它在不同的类型中所执行的操作都不相同，这是由于每个模块针对不同的模块类型编制了不同的执行函数。

第四列：代表PAM模块的参数，这个需要根据所使用的模块来添加。传递给模块的参数。参数可以有多个，之间用空格分隔开。

5、PAM安全认证流程

5.1控制类型也称做ControlFlags，用于PAM验证类型的返回结果

注：带有感叹号的意思为不可以执行这个操作

3、查看sudo操作记录

注：初次使用sudo时需验证当前用户的密码，默认超时时长为5分钟，在此期间不再重复验证密码

五、开关机安全控制

1、调整BIOS引导设置

2、GRUB限制

限制更改GRUB引导参数

通常情况下在系统开机进入GRUB菜单时，按e键可以查看并修改GRUB引导参数，这对服务器是–个极大的威胁

可以为GRUB菜单设置一个密码，只有提供正确的密码才被允许修改引导参数