zoukankan      html  css  js  c++  java
  • PAM和账户安全配置

      PAM(可插入认证模块)是UNIX系统上一个实现模块化的身份验证模块服务

    当程序需要对用户进行身份验证时加载并执行的。PAM文件通常位于/etc/pam.d目录中。

    配置文件

    /etc/pam.d/password-auth

    /etc/pam.d/system-auth

    /etc/security/pwquality.conf

    配置密码创建要求

    编辑/etc/pam.d/password-auth和/etc/pam.d/system-auth,确定文件含有

    password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=

    编辑密码强度配置文件/etc/security/pwquality.conf

    minlen = 14
    dcredit = -1
    ucredit = -1
    ocredit = -1
    lcredit = -1
    • minlen = 14 -  密码最小长度

    • ucredit = -1 - 必须包含一个大写字符

    • ocredit = -1 - 必须包含一个特殊字符

    • lcredit = -1 -必须包含一个小写字符

    确保配置了失败密码尝试的锁定

    在n次不成功的连续登录尝试后锁定用户ID可减轻暴力对系统的密码攻击

    查看 ’/etc/pam.d/password-auth‘ 和 ’/etc/pam.d/system-auth‘文件

    确认 pam_faillock.so 周围有 pam_unix.so    pam_unix.so 是 [success=1 default=bad]

    auth required pam_faillock.so preauth audit silent deny=5 unlock_time=900
    auth [success=1 default=bad] pam_unix.so
    auth [default=die] pam_faillock.so authfail audit deny=5 unlock_time=900
    auth sufficient pam_faillock.so authsucc audit deny=5 unlock_time=900

    限制密码重用次数

    编辑/etc/pam.d/password-auth 和 /etc/pam.d/system-auth

    password required pam_pwhistory.so remember=5

     

    确定密码的加密算法 SHA-512

    编辑/etc/pam.d/password-auth 和 /etc/pam.d/system-auth

    password    sufficient    pam_unix.so     sha512

    确保对su命令的访问受到限制

    编辑/etc/pam.d/su

    auth required pam_wheel.so use_uid

    编辑/etc/group

    将允许的用户加入wheel组,这里以root和redhat用户为例

    wheel:x:10:root,redhat

    账户安全设置

    配置文件

    • /etc/login.defs

    查看账户过期时间和其它信息

    [root@frog ~]# chage -l redhat 
    Last password change                    : Jun 11, 2020
    Password expires                    : never
    Password inactive                    : never
    Account expires                        : never
    Minimum number of days between password change        : 0
    Maximum number of days between password change        : 99999
    Number of days of warning before password expires    : 7

    确保系统账户是non-login

    检测脚本

    egrep -v "^+" /etc/passwd | awk -F: '($1!="root" && $1!="sync" &&
    $1!="shutdown" && $1!="halt" && $3<1000 && $7!="/sbin/nologin" &&
    $7!="/bin/false") {print}'

    修改为不允许登录

    usermod -s /sbin/nologin <user>

    脚本批量设定

    uid的小于1000除开root用户,进行锁定,除开一些特殊用户,其它的都禁止登录。

    #!/bin/bash
    for user in `awk -F: '($3 < 1000) {print $1 }' /etc/passwd` ; do
     if [ $user != "root" ]; then
         usermod -L $user
         if [ $user != "sync" ] && [ $user != "shutdown" ] && [ $user != "halt" ];then
            usermod -s /sbin/nologin $user
         fi
     fi
    done
  • 相关阅读:
    分布式锁_00_资源帖
    JVM_总结_03_Java发展史
    JVM_总结_02_Java技术体系
    JVM_总结_00_资源帖
    分布式事务_03_2PC框架raincat源码解析-事务提交过程
    Java企业微信开发_15_查询企业微信域名对应的所有ip
    分布式事务_02_2PC框架raincat源码解析-启动过程
    Disruptor_学习_00_资源帖
    Git_学习_09_Commit message 和 Change log 编写指南
    分布式_事务_01_2PC框架raincat快速体验1
  • 原文地址:https://www.cnblogs.com/zydev/p/13095187.html
Copyright © 2011-2022 走看看