Linux安全之账户安全

news2024/12/23 14:48:07

账户安全

Linux用户账户概述:

  1. 用户账号
    1. 超级用户root
    2. 系统用户
    3. 普通用户
  2. 组账号
    1. 基本组(私有组----每一个私有组里面只有一个用户)
    2. 附加组(公共组----每一个用户都可以加入到这个组里面)

UID和GID:

  1. UID(User IDentity,用户标识号)
  2. GID(Group IDentity,组标识号)

超级用户root的UID和GID:0 (固定为0的!)(一般情况下,一旦服务器上存在了一个不叫root 但是UID 是0 的账户,那么就很有可能出现了安全性问题,一般就是被入侵了,他是一个后门账号 )

系统用户UID和GID:1-999 (Linux的发行版本不同 这个范围也不太相同)

普通用户的UID和GID:1000-65535

用户账号文件

/etc/passwd:存放用户账号名、UID GID 宿主目录 登录shell

/etc/shadow:存放用户账号名、密码、密码天数、账户失效日期等

查看/etc/passwd里面的内容:分别对应如下的信息。

字段1:用户账号的名称

字段2:用户密码字串或者密码占位符“x”

字段3:用户账号的UID号

字段4:所属基本组账号的GID号

字段5:用户全名

字段6:宿主目录

字段7:登录shell信息 (可以看到上面的登录shell是/bin/bash 这个shell是允许我们远程登录的,但是一旦shell是/sbin/nologin的话,就是不允许远程登录的!)

查看/etc/shadow文件。

字段1:用户账号的名称

字段2:加密的密码字串信息

字段3:上次修改密码的时间(天数:从1970年1月1号到最近依次修改密码时间的间隔天数)

字段4:密码的最短有效天数,默认值为0

字段5:密码的最长有效天数,默认值为99999

字段6:提前多少天警告用户口令将过期,默认值为7

字段7:在密码过期之后多少天禁用此用户

字段8:账号失效时间,默认值为空

字段9:保留字段(未使用)

系统账号清理

将非登录用户的shell设为/sbin/nologin

usermod -s /sbin/nologin 用户名

锁定长期不使用的账号

  1. passwd -l 用户名
  2. usermod -L 用户名 (如果是解锁的话 参数就是-U 上面的命令就是-u)

删除无用的账号

userdel -r 用户名

锁定账号文件 passwd shadow

  1. chattr +i /etc/passwd /etc/shadow (+i 就是加锁 -i 就是去掉锁)
  2. chattr -i /etc/passwd /etc/shadow
  3. lsattr /etc/passwd /etc/shadow

检查后门账号:

awk -F: '$3==0{print $1}' /etc/passwd

(检查/etc/passwd中的第三列中等于0 的结果,然后将对应的第一列打印出来)

密码安全控制

  1. 设置密码有效期
  2. 修改/etc/login.defs文件中的"PASS_MAX_DAYS"的值(适用于新建用户,对于已经存在的用户不起作用)
    1. chage -M 30 用户名 (适用于已有用户)
  3. 要求用户下次登录时修改密码
    1. chage -d 0 zhangsan

历史命令限制

  1. 减少记录的命令条数:修改/etc/profile文件中的“HISTSIZE=”的值
  2. 注销时自动清空命令历史:修改用户宿主目录下的“.bash_logout”文件,在文件的末尾处追加2行
    1. history -c
    2. clear

终端自动注销

修改用户宿主目录下的“.bash_profile“文件,在文件末尾处追加1行:export TMOUT=时间(单位是秒)

su用户切换安全

限制使用su命令的用户

  1. 启用pam_wheel认证模块
    1. 修改”/etc/pam.d/su“文件,启用”auth required pam_wheel.so use_uid“
    2. 将允许使用su命令的用户加入wheel组
    3. gpasswd -a 用户名 wheel

sudo用户提权安全

查看除root账号意外,其他账号是否存在sudo权限

grep "ALL=(ALL)" /etc/sudoers | grep -v "#" |grep -v "^#"

这里一般就是出现的 root 和%wheel 出现其他的用户就需要额外的注意啦

配置sudo授权

记录格式:用户 主机名列表=命令程序列表

visudo

.....

%wheel		ALL=NOPASSWD:ALL
zhangsan	localhost=/sbin/ifconfig
lisi		localhost=/sbin/*,!/sbin/ifconfig,!/sbin/route
User_Alias  ADMINS=wangwu,zhaoliu		(这里就是要实现多个用户具备相同权限,起的别名)
Host_Alias  SERVERS=filesvr,websvr,ftpsvr	(共同享有的主机的范围)
Cmnd_Alias  NETCMD=/sbin/ifconfig,/sbin/route	(可以操作的命令)
ADMINS		SERVERS=NETCMD	
(最终就是wangwu zhaoliu 都对filesvr,websvr,ftpsvr 可以配置ip 以及路由接入等)

用户弱口令检测

检测工具

John the Ripper 简称JR

一款密码分析工具,支持字典是的暴力破解

通过对shadow文件的口令分析,可以检测密码的强度

官方网站:http://www.openwall.com/john/

检测弱口令账号

  1. 需要获得Linux/Unix服务器的shadow文件副本 (cp /etc/shadow /root/shadow.txt)
  2. JR的默认密码字典文件为password.lst (./john /root/shadow.txt)
  3. 可通过”--wordlist=“指定其他密码字典文件的路径

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/609645.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【minio】Ubuntu安装MinIO文件服务器并通过C++上传下载

😏★,:.☆( ̄▽ ̄)/$:.★ 😏 这篇文章主要介绍MinIO的使用。 学其所用,用其所学。——梁启超 欢迎来到我的博客,一起学习知识,共同进步。 喜欢的朋友可以关注一下,下次更新不迷路&…

pandas速学-DataFrame

一、理解DataFrame 他是一个表格结构:DataFrame 是一个表格型的数据结构 他是有序的,不同值类型:它含有一组有序的列,每列可以是不同的值类型(数值、字符串、布尔型值)。 他可以被看做一个由series组成的…

chatgpt赋能python:PythonIP匹配

Python IP匹配 随着互联网的不断发展,IP地址已成为人们最常使用的一种网络标识。在网络分析和开发中,经常会用到IP地址的相关操作,如IP地址的匹配。Python作为一种性能比较好的语言,也可以很好地完成IP地址的匹配工作。本文将介绍…

【学习日记2023.6.4】之 Linux入门

1. Linux简介 1.1 主流操作系统 不同领域的主流操作系统,主要分为以下这么几类: 桌面操作系统、服务器操作系统、移动设备操作系统、嵌入式操作系统。接下来,这几个领域中,代表性的操作系统是那些? 1). 桌面操作系统 操作系统特…

数据链路层:虚拟局域网(VLAN)

数据链路层:虚拟局域网(VLAN) 笔记来源: 湖科大教书匠:虚拟局域网(VLAN)概述 湖科大教书匠:虚拟局域网(VLAN)实现机制 声明:该学习笔记来自湖科大…

mybatis源码学习之mybatis执行流程分析

Mybatis执行流程分析 mybatis全局配置文件 mybatis全局配置文件中涉及的标签如下图所示 配置文件解析 public static void main(String[] args) throws IOException {// 读取配置文件InputStream is Resources.getResourceAsStream("org/apache/ibatis/builder/Mappe…

K8S部署Hadoop集群(七)

Hadoop是Apache软件基金会下一个开源分布式计算平台,以HDFS(Hadoop Distributed File System)、MapReduce(Hadoop2.0加入了YARN,Yarn是资源调度框架,能够细粒度的管理和调度任务,还能够支持其他…

UnityVR--EventManager--事件中心3

前期准备 接上一篇,来实现事件中心的管理:使用定义好的事件中心管理器EventManager,实现鼠标拖拽、角色移动、发射子弹等几个功能。 1. InputSystem的准备:需要设置输入设备并关联事件,比如监听键盘输入"WASD&quo…

自制操作系统第三站

修改haribote.nas,界面显示 ; haribote.nas ; TAB4ORG 0xc200MOV AL, 0x13MOV AH, 0x00INT 0x10fin:HLTJMP fin编译运行

MySQL存储引擎概述

前言:MySQL语句执行流程为:SQL语句→查询缓存→解析器→优化器→执行器(执行器会调用执行引擎API);人们把“连接管理、查询缓存、语法解析、查询优化”这些并不涉及真实数据存储的功能划分为MySQL server的功能&#x…

TiDB亿级数据亚秒响应查询整体架构

目录 1 TiDB的优势2 TiDB的组件2.1 TiDB Server2.2 PD (Placement Driver) Server2.3 TiKV Server2.4 TiSpark2.5 TiFlash 3 TiKV整体架构3.1 Region分裂与合并3.2 Region调度3.3 分布式事务 4 高可用架构4.1 TiDB高可用4.2 PD高可用4.3 TiKV高可用 5 应用场景5.1 MySQL分片与合…

在地质区划图上绘制伪震中

import numpy as np import matplotlib.pyplot as plt #matplotlib inline from matplotlib import image from matplotlib import pyplot as plt import cv2 # 解析文件,按空格分割字段,得到一个浮点数字类型的矩阵 def loadDataSet(fileName): dataMa…

chatgpt赋能python:Python办公自动化:优化SEO工作效率的关键

Python办公自动化:优化SEO工作效率的关键 随着互联网的不断发展,SEO已经成为了许多企业在网络中展示自己的必备手段。然而,SEO工作需要大量重复性、繁琐的操作,如关键词排名、竞争对手分析、数据收集等,这些工作占据了…

一文说透ES6中的箭头函数表达式

一 总述 ​箭头函数表达式的语法比函数表达式更简洁,并且没有自己的this,arguments,super或new. target。箭头函数表达式更适用于那些本来需要匿名函数的地方,并且它不能用作构造函数。 二 详细 1 1个或多个参数 (param1, par…

【数据结构每日一题】队列——用栈实现队列

[数据结构习题]队列——用栈实现队列 👉知识点导航💎:【数据结构】栈和队列 👉[王道数据结构]习题导航💎: p a g e 85.3 page85.3 page85.3 本节为栈和队列的综合练习题 题目描述: &#x1f…

【AI绘图】五、stable diffussion模型的介绍与使用

1. 下载模型 主流模型下载网站: 1)Hugging face 是一个专注于构建、训练和部署先进开源机器学习模型的网站: https://huggingface.co/ 2)Civitai 是一个专为 Stable Diffusion AI 艺术模型设计的网站: https://civi…

Python数据分析script必备知识(四)

Python数据分析script必备知识(四) 1.保留最近N天的日志 1.批量创建多个文件 首先,为演示方便,在指定文件夹目录下用下面代码批量新建多个log文件 """ 批量创建多个文件 """ import os file_path = os.path.join(os.getcwd(),LOG) # 如果不…

「详细教程」使用git将本地项目上传至Github仓库(MacOS为例)

前言:最近需要将自己的代码开源至自己的Github仓库,然而发现并没有一键上传文件夹的选项,于是参考现有教程进行了实践,成功✌️以下是详细步骤。 Tips:在文章录用之后,小伙伴们可以选择将自己的代码开源&am…

QMessageBox信息模态对话框详细使用教程,对象创建栈和指针类型,对话框的风格样式设置,不要浪费实时间自己封装了,图文并茂,看图说话。

QMessageBox 界面设计图展示效果【1】PC端使用QMessageBoxinformation (常规信息)warning (警告消息)critical (错误信息)about (关于信息,无按钮)question (问题信息?&a…

Android开发 LogDog (日志狗)V2.0.0

目录 一、简介 二、使用推荐 1、初始化LogDog 2、运行中如何更改初始化时的配置? 三、更改 四、新功能 1、Log过滤 2、自定义打印 3、提供占位符式打印 一、简介 LogDog V1.0 版本https://blog.csdn.net/Ym_quiet/article/details/130453232?spm1001.2014…