Linux系統加固 使用者和組管理策略

2021-10-03 02:32:35 字數 3305 閱讀 3853

三. 使用者許可權

linux的賬號過期策略有效期等主要是在/etc/login.defs檔案內控制

linux-pam(linux可插入認證模組)是一套共享庫,使本地系統管理員可以隨意選擇程式的認證方式. 換句話說,不用(重新編寫)重新編譯乙個包含pam功能的應用程式,就可以改變它使用的認證機制. 這種方式下,就算公升級本地認證機制,也不用修改程式.

pam使用配置/etc/pam.d/下的檔案,來管理對程式的認證方式.應用程式呼叫相應的配置檔案,從而呼叫本地的認證模組.模組放置在/lib/security下,以載入動態庫的形式進,像我們使用su命令時,系統會提示你輸入root使用者的密碼.這就是su命令通過呼叫pam模組實現的.

路徑/etc/pam.d/system-auth

linux-pam有四種模組型別,分別代表四種不同的任務,它們是:

認證管理(auth)表示鑑別類介面模組型別用於檢查使用者和密碼,並分配許可權;

賬號管理(account)表示賬戶類介面,主要負責賬戶合法性檢查,確認帳號是否過期,是否有許可權登入系統等;

會話管理(session)會話類介面。實現從使用者登入成功到退出的會話控制;

和密碼管理(password)口令類介面。控制使用者更改密碼的全過程。也就是有些資料所說的公升級使用者驗證標記。

pass_max_days 60 //設定密碼過期的天數

pass_min_days 2 //設定可用密碼的最短天數

pass_warn_age 7 //在到期前設定警告的天數

vi /etc/pam.d/system-auth


password     sufficient     pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5


/etc/security/pwquality.conf 


authconfig --passminlen=8 --update


/etc/security/pwquality.conf 


authconfig --passminclass=2 --update


/etc/security/pwquality.conf 


authconfig --passmaxclassrepeat=4 --update


/etc/security/pwquality.conf 


authconfig --enablereqlower --update


/etc/security/pwquality.conf 


authconfig --enablerequpper --update


/etc/security/pwquality.conf 


authconfig --enablereqdigit --update


/etc/security/pwquality.conf 


authconfig --enablereqother --update


vi /etc/security/pwquality.conf


maxsequence = 3


vi /etc/security/pwquality.conf


difok = 5


vi /etc/security/pwquality.conf


gecoscheck = 1


vi /etc/security/pwquality.conf


badwords = denywords1 denywords2 denywords3


authconfig --test |


grep hashing 


password hashing algorithm is md5


authconfig --passalgo=sha512 --update


authconfig --test |


grep hashing 


algorithm is sha512
linux中檔案目錄許可權分為讀寫執行三種,

u:user,即檔案或目錄的擁有者。

g:group,即檔案或目錄的所屬群組。

o:other,除了檔案或目錄擁有者或所屬群組之外,其他使用者皆屬於這個範圍。

a:all,即全部的使用者,包含擁有者,所屬群組以及其他使用者。

有關許可權代號的部分,列表於下:

r:讀取許可權,數字代號為"4"。

w:寫入許可權,數字代號為"2"。

x:執行或切換許可權,數字代號為"1"。

-:不具任何許可權,數字代號為"0"。

s:特殊?b>功能說明:變更檔案或目錄的許可權。

摘錄centos7 設定使用者密碼規則 --shaonbean

Linux使用者和組管理

useradd 使用者名稱 建立使用者和組 passwd 使用者名稱 設定使用者密碼 groupadd 組名 建立組 usermod d 路徑 使用者名稱 修改使用者宿主目錄 usermod u uid 使用者名稱 修改使用者的uid usermod s bin csh 使用者名稱 修改使用者啟動s...

linux 使用者和組管理

1.建立乙個新使用者user01,設定其主目錄為 home user01 sudo useradd d home user01 m user01 2.檢視 etc passwd檔案的最後一行 注 現在的unix linux系統中,口令不再直接儲存在passwd檔案中,通常將passwd檔案中的口令欄...

Linux使用者和組管理

linux是個多使用者多工的分時作業系統,所有乙個要使用系統資源的使用者都必須先向系統管理員申請乙個賬號,然後以這個賬號的身份進入系統。使用者的賬號一方面能幫助系統管理員對使用系統的使用者進行跟蹤,並控制他們對系統資源的訪問 另乙個方面也能幫助使用者組織檔案,並為使用者提供安全效能保護。每個使用者賬...