《操作系統(tǒng)安全》課件-項(xiàng)目八 Linux賬戶安全

2024操作系統(tǒng)安全ONE信息安全產(chǎn)品配置與應(yīng)用項(xiàng)目八Linux賬戶安全一、Linux賬戶管理文件設(shè)置用戶及用戶組配置文件三、PAM模塊設(shè)置Linux的一種認(rèn)證模塊二、Linux賬戶密碼安全設(shè)置Linux密碼管理目錄ONE01Linux賬戶文件管理信息安全產(chǎn)品配置與應(yīng)用用戶組:具有相同特征的用戶的集合。一個(gè)組可以包含多個(gè)用戶，每個(gè)用戶也可以屬于不同的組。用戶組的目的方便管理員對(duì)用戶進(jìn)行集中管理。用戶組也分為三類：系統(tǒng)組私有組和標(biāo)準(zhǔn)組用戶分為三類：超級(jí)用戶

(root）對(duì)本機(jī)有至高無(wú)上的權(quán)限普通用戶

管理員root創(chuàng)建的用戶，一般在自己的宿主目錄有絕對(duì)權(quán)限虛擬用戶

存在linux中，滿足文件或者程序運(yùn)行的需要而創(chuàng)建的用戶，不能登錄，不能使用。Linux用戶分類Addyourtextcontent.Addyourcontent.Addyourcontent.0102/etc/passwd記錄操作系統(tǒng)用戶及其屬性信息/etc/shadow用戶影子口令文件；記錄所有用戶的密碼信息0304/etc/group記錄用戶組及其屬性的信息/etc/gshadow記錄用戶組及其相關(guān)屬性密碼信息Linux賬戶管理相關(guān)文件passwd文件賬戶系統(tǒng)文件A．/etc/passwd每行定義一個(gè)用戶賬戶，此文件對(duì)所有用戶可讀。每行賬戶包含如下信息：test:x:501:501:testuser:/home/test:/bin/bash用戶名用戶主目錄UIDGID用戶shell密碼用戶全名shadow文件OpenSSH的配置信息，用于安全地遠(yuǎn)程登錄到服務(wù)器。Linux的shadow文件是一個(gè)包含用戶賬戶密碼哈希值的文件，它主要用于存儲(chǔ)已加密的密碼。這個(gè)文件在/etc目錄下，文件名通常為shadow。位置含義1用戶名，標(biāo)識(shí)用戶的賬戶名。234位加密口令，如果字段以“!”開(kāi)頭，表示無(wú)口令，用戶無(wú)法登錄。3從1970年1月1日起到上次修改口令日期的間隔天數(shù)。4口令上次修改后，要隔多少天才能再次修改，0表示無(wú)限制。5口令自上次修改后，多少天之內(nèi)必須再次修改，99999表示未設(shè)置再次修改的限制。6若口令設(shè)了時(shí)間限制，在過(guò)期多少天前向用戶發(fā)送警告，默認(rèn)為7天。7若口令設(shè)置為必須修改，而到期后仍未修改，系統(tǒng)推遲關(guān)閉賬號(hào)的天數(shù)。8從1970年1月1日起到用戶賬戶到期的間隔天數(shù)。9保留字段，通常不使用。sshd:*:18510:0:99999:7:::ubuntu18:$6sUQzV8IKrL80vVa.1$vpPi5fwALtGBy4fvVUkuWvBHGjmg0UAW.wjgddOiIo1XMaDpw/xKCFLjNCrJn5mx5Y/NnIZeBAWIZycK./lll.:18510:0:99999:7:::tom:$6$c0r8hjEs$qicKJSq66twgVsucL2bk./YrLZ6Elvz8bw6emjK71QpXm2EaZwjxak7JvUld1TnHKNh7xiU9HxZpVUbPfP06P.:18532:0:99999:7:::dem01:!:18533:0:99999:7:::每個(gè)用戶對(duì)應(yīng)一個(gè)UID號(hào)，UID在本機(jī)的操作系統(tǒng)里是唯一的。每個(gè)組用戶會(huì)對(duì)應(yīng)一個(gè)GID號(hào)，GID在本機(jī)的操作系統(tǒng)里是唯一的。概念：?Linux登錄主機(jī)時(shí)我們輸入用戶名，但系統(tǒng)里不會(huì)認(rèn)識(shí)用戶名的，而是通過(guò)/etc/passwd文件里用戶名對(duì)應(yīng)的UID和GID識(shí)別的。UID和GID:UIDGIDLinux賬戶管理相關(guān)文件UID的限制0當(dāng)用戶的UID是0時(shí)，該用戶擁有管理員權(quán)限。在Linux系統(tǒng)中，UID0通常分配給root用戶，但也可以分配給其他用戶以賦予管理員權(quán)限。1~499這通常是一個(gè)系統(tǒng)默認(rèn)保留的用戶賬號(hào)，用于運(yùn)行某些服務(wù)。這個(gè)賬號(hào)與普通用戶賬號(hào)類似，但一些系統(tǒng)服務(wù)可能會(huì)默認(rèn)使用這個(gè)賬號(hào)。500~65535這個(gè)范圍內(nèi)的UID通常用于手動(dòng)創(chuàng)建的普通用戶賬號(hào)，不具有管理員權(quán)限。010203Linux系統(tǒng)中的root賬號(hào)通常用于系統(tǒng)的維護(hù)和管理，它對(duì)Linux操作系統(tǒng)的所有部分具有不受限制的訪問(wèn)權(quán)限。值得注意的是，系統(tǒng)真正關(guān)心的并不是該賬號(hào)的用戶名而是該賬號(hào)的用戶ID，即UID。/etc/passwd文件中定義的超級(jí)用戶UID為0，也就是說(shuō)如果某個(gè)賬號(hào)的uid為零，系統(tǒng)將會(huì)認(rèn)為該用戶就是超級(jí)用戶。Root用戶04在Linux中超級(jí)用戶登錄系統(tǒng)的時(shí)候，系統(tǒng)不會(huì)對(duì)該用戶進(jìn)行存取限制和安全性驗(yàn)證，所以超級(jí)用戶root可以操作任何人的文件或者就像文件的擁有者一樣管理文件。Linux賬戶管理相關(guān)文件在Linux系統(tǒng)中，用戶賬戶信息存儲(chǔ)在/etc/passwd文件中，而用戶分組信息則存儲(chǔ)在/etc/group文件中。/etc/passwd文件為每個(gè)用戶賬戶分配了一個(gè)默認(rèn)的組標(biāo)識(shí)符（GID），而`/etc/group文件則將這個(gè)GID映射到對(duì)應(yīng)的用戶組名及其成員列表，從而便于管理和識(shí)別用戶組。每個(gè)用戶賬戶的GID在/etc/group中都應(yīng)有一個(gè)對(duì)應(yīng)的條目，其中包含了組名和組內(nèi)成員的用戶名。這種設(shè)計(jì)避免了在/etc/passwd中逐行搜索同一組用戶，提高了查找效率。盡管/etc/group文件對(duì)于控制文件的訪問(wèn)權(quán)限不是必需的，因?yàn)橄到y(tǒng)會(huì)使用/etc/passwd中的用戶標(biāo)識(shí)符（UID）和組標(biāo)識(shí)符（GID）來(lái)確定文件的訪問(wèn)權(quán)限。即便沒(méi)有/etc/group文件，只要用戶具有相同的GID，他們?nèi)匀豢梢怨蚕斫M內(nèi)的文件訪問(wèn)權(quán)限。用戶組也可以設(shè)置組密碼，如果/etc/group文件中的某個(gè)組條目第二個(gè)字段非空（通常用"x"表示），則表示該組設(shè)有加密的組密碼。刪除一些不必要的組：

#groupdeladm#groupdellp#groupdelnews#groupdeluucp#groupdelgames#groupdeldip#groupdelpppusers#groupdelpopusers#groupdelslipusers虛擬用戶用戶管理查看是否有空密碼用戶：awk-F:'($2==""){print$1}'/etc/shadow查看UID=0的用戶：awk-F:'($3==0)'/etc/passwd賬戶相關(guān)文件的保護(hù)使用chattr+i保護(hù)Linux文件，禁止修改、刪除、移動(dòng)文件等用chattr執(zhí)行改變文件或目錄的屬性，可執(zhí)行l(wèi)sattr指令查詢其屬性與chmod這個(gè)命令相比，chmod只是改變文件的讀寫、執(zhí)行權(quán)限，更底層的屬性控制是由chattr來(lái)改變的chattr命令不能保護(hù)/、/dev、/tmp、/var目錄#chattr+i/etc/passwd

#chattr+i/etc/shadow

#chattr+i/etc/group

#chattr+i/etc/gshadow#lsattr/etc/group/etc/passwd/etc/shadow/etc/gshadow鎖定文件#chattr-i/etc/passwd#chattr-i/etc/shadow#chattr-i/etc/group#chattr-i/etc/gshadow#lsattr/etc/group/etc/passwd/etc/shadow/etc/gshadow解鎖文件ONE02Linux賬戶密碼安全信息安全產(chǎn)品配置與應(yīng)用passward格式：passwd[選項(xiàng)][用戶]功能：設(shè)置或修改用戶的口令以及口令的屬性說(shuō)明：-d刪除用戶的口令-l暫時(shí)鎖定指定的用戶帳號(hào)-u解除指定用戶帳號(hào)的鎖定-s顯示指定用戶帳號(hào)的狀態(tài)密碼管理

使用usermod命令可以用來(lái)修改使用者的賬號(hào)，具體的修改信息和useradd命令所添加的信息一致，這里不再一一列出。usermod命令的使用格式為：usermod《選項(xiàng)》<用戶名>該命令使用的參數(shù)和useradd命令使用的參數(shù)一致。在使用過(guò)程中，usermod命令會(huì)參照命令行上指定的部分修改系統(tǒng)賬號(hào)的相關(guān)信息usermod不允許改變正系統(tǒng)中使用的賬戶。當(dāng)usermod用來(lái)改變userID，必須確認(rèn)該user沒(méi)有在系統(tǒng)中執(zhí)行任何程序特別提醒用戶注意的是：usermod最好不要用來(lái)修改用戶的密碼，因?yàn)樗趀tc/shadow中顯示的是明文口令，修改用戶的口令最好使用passwd密碼管理/etc/shadow文件：/etc/shadow文件包含了系統(tǒng)的密碼信息和密碼策略相關(guān)的數(shù)據(jù)。每個(gè)賬戶通常有一行對(duì)應(yīng)的條目。用戶密碼修改：使用usermod-pcnhopeuser1命令修改了用戶user1的密碼，其中-p選項(xiàng)后跟新密碼cnhope。用戶賬戶添加：使用useradduser1命令添加了一個(gè)新用戶user1?？诹畈呗浴诹钇谙尴拗?etc/login.defs/etc/login.defs文件是一個(gè)配置文件，用于定義用戶賬戶和密碼策略的默認(rèn)值，它只是在創(chuàng)建新用戶時(shí)作為默認(rèn)值的參考。密碼管理chage命令用于修改用戶密碼策略信息，如密碼過(guò)期時(shí)間、密碼最小/最大使用期限等。你使用該命令來(lái)修改一個(gè)用戶的密碼最大使用期限時(shí)，這個(gè)命令會(huì)直接修改系統(tǒng)中與用戶密碼策略相關(guān)的數(shù)據(jù)庫(kù)，而不會(huì)改變/etc/login.defs文件中的設(shè)置。chage語(yǔ)法：chage[參數(shù)]用戶名，例如chage-M90rootONE03PMA模塊設(shè)置信息安全產(chǎn)品配置與應(yīng)用PMA模塊介紹.Linux-PAM(linux可插入認(rèn)證模塊)是一套共享庫(kù),使本地系統(tǒng)管理員可以隨意選擇程序的認(rèn)證方式。PAM的認(rèn)證過(guò)程是通過(guò)對(duì)一些服務(wù)或應(yīng)用的配置文件來(lái)控制的。通常，這些配置文件在/etc/pam.d目錄下。功能：允許通過(guò)配置文件控制應(yīng)用程序的認(rèn)證過(guò)程，無(wú)需修改應(yīng)用程序本身。應(yīng)用場(chǎng)景：適用于登錄、Web服務(wù)器等多種服務(wù)。安全性：提供不同級(jí)別的安全性設(shè)置。認(rèn)證方法：支持密碼、生物識(shí)別等多種認(rèn)證方式。優(yōu)勢(shì)：提高安全性和靈活性，減少維護(hù)成本。以/etc/pam.d/sshd為例，第一列代表模塊類型，第二列代表控制標(biāo)記，第三列代表模塊路徑，第四列代表模塊參數(shù)密碼策略◆01auth–認(rèn)證管理。02account–用戶管理。是非認(rèn)證式的對(duì)用戶賦予／阻止使用一些系統(tǒng)資源。比如說(shuō)，用戶登錄的時(shí)間限制，密碼的期限等。03password–密碼認(rèn)證管理。是用來(lái)管理用戶的密碼認(rèn)證標(biāo)記(token)的。比如，用戶密碼的嘗試次數(shù)等04session–會(huì)話管理。比如在會(huì)話前中后所要執(zhí)行的一些事情，如記錄會(huì)話信息,對(duì)如可展開(kāi)會(huì)話的控制等。密碼策略模塊類型常見(jiàn)如下幾種：密碼策略required–表示這一模塊的認(rèn)證是必須成功的，但如果失敗，認(rèn)證過(guò)程不會(huì)即刻終止，PAM將繼續(xù)下一個(gè)同類型的模塊認(rèn)證。01requisite–和required類似，只是如果失敗，認(rèn)證過(guò)程將立即終止。02include－有點(diǎn)類似于DNS或xinetd的include。表示將包括其他的一些認(rèn)證，這樣就可以建立一個(gè)分離式的配置文件管理機(jī)制。05sufficient–表示如果認(rèn)證成功，那么對(duì)這一類的模塊認(rèn)證是充足的了，其他的模塊將不會(huì)再檢驗(yàn)。03optional–表示這一模塊認(rèn)證是可選的，也不會(huì)對(duì)認(rèn)證成功或失敗產(chǎn)生影響。我沒(méi)怎么用過(guò)這個(gè)。04控制標(biāo)記如下：密碼策略舊版本Linux（Centos7）用pam_cracklib.so，新版本Linux（Centos8）用pam_pwquality.so。◆口令策略—密碼復(fù)雜度設(shè)置在后面添加ucredit=-1lcredit=-1dcredit=-1ocredit=-1，它表示密碼必須至少包含一個(gè)大寫字母（ucredit），一個(gè)小寫字母（lcredit），一個(gè)數(shù)字（dcredit）和一個(gè)標(biāo)點(diǎn)符號(hào)（ocredit），具體按照需要修改即可。設(shè)置密碼復(fù)雜度密碼策略minlen=8（新密碼的最小可接受大小)dcredit=-1（密碼中包含所需數(shù)字的最小數(shù)量，如果小于0，則為新文件中的最小小寫字符數(shù)）ucredit=-1（密碼中包含大寫字符的最小數(shù)量，此項(xiàng)為新密碼中包含大寫字符的最大數(shù)，如果小于0，則為新文件中的最小大寫字符數(shù)）lcredit=1（新密碼中包含小寫字符的最大數(shù)量，如果小于0，則為新文件中的最小小寫字符數(shù)）ocredit=1(此項(xiàng)為新密碼中包含其他字符的最大數(shù)，如果小于0，則為新文件中的最小其他字符數(shù)，等于0，則不做強(qiáng)制要求)minclass=1（新密碼所需的最小字符類數(shù)（數(shù)字、大寫、小寫、其他）maxrepeat=0（新密碼中允許的最大連續(xù)相同字符數(shù)。#如果該值為0，則禁用該檢查）maxclassrepeat=0（中同一類允許的最大連續(xù)字符數(shù)，如果該值為0，則禁用該檢查）difok=5（新密碼和舊密碼相同字符數(shù)數(shù)量）retry=3（在返回錯(cuò)誤之前，最多提示用戶N次,默認(rèn)值為1）enforce_for_root（對(duì)根用戶密碼強(qiáng)制執(zhí)行質(zhì)量檢查）遠(yuǎn)程登錄限制有一些攻擊性的軟件是專門采用暴力破解密碼的形式反復(fù)進(jìn)行登錄嘗試。對(duì)于這種情況，我們可以調(diào)整用戶登錄次數(shù)限制，使其密碼輸入3次后自動(dòng)鎖定，并且設(shè)置鎖定時(shí)間，在鎖定時(shí)間內(nèi)即使密碼輸入正確也無(wú)法登錄。打開(kāi)/etc/pam.d/sshd文件，在“#%PAM-1.0”的下面，加入下面的內(nèi)容，表示當(dāng)密碼輸入錯(cuò)誤達(dá)到3次，就鎖定用戶150秒，如果root用戶輸入密碼錯(cuò)誤達(dá)到3次，鎖定300秒。這里鎖定的意思是即使密碼正確