账号安全及应用

一、账号安全控制

 1.1系统账号清理

用户设置为无法登陆

锁定账户

删除账户

设定账户密码,本质锁定

锁定配置文件-chattr:

-a 让文件或目录仅供附加用途。只能追加

-i 不得任意更动文件或目录。

1.2密码安全控制

chage

1.3历史命令

history:查看历史命令,默认一千条

history -c    清空历史命令

二、切换用户

2.1用户切换su命令

su命令可以切换用户身份,并且以指定用户的身份执行命令。

pam_rootok.so  root不需要密码

pam_wheel.so   只有wheel组才可以切换

$ su root   切换至root用户

wohami   显示当前登录的用户

2.2查看su命令的操作日志,绝对路径:/var/log/secure

这里可以用less或tail查看,这里推荐tail

2.3用户提权  sudo

命令格式     sudo   [选项]   命令

选项

功能

-V显示版本编号
-l显示出自己的权限
-k将会强制使用者在下一次执行sudo时需要输入密码(无论多久)
-p可以更改问密码的提示语,其中%u会代换为使用者的账号名称,%h会显示主机名称
-u  用户名指定用户的权限
-s执行环境变数中的SHELL所指定的shell

2.3.1编辑配置文件的绝对路径

vim /etc/sudoers

2.3.2配置详解

1.root字段:用户名或UID,%组名或%GID

2.第一个ALL字段:IP地址或主机名,ALL代表任意主机

3.第二个ALL字段:用户字段,用户名或UID,ALL代表任意用户

4.第三个ALL字段:命令字段(绝对路径)可以是,命令名(command name),文件夹里的命令(directory),可以编辑sudoers这个文件(sudoedit),变相变成管理员。

2.3.4sudo 子目录

如果将所有提权都放在配置文件/etc/sudoers下不便于管理,可以通过在/etc/soduers.d/下创建子目录,可以更好地管理sudo的授权规则

三、PAM安全认证流程

PAM提供了灵活和可定制的用户身份验证框架,使系统管理员能够根据需要配置和管理身份验证方式。

3.1PAM相关文件

模块文件目录:/lib64/security/*.so

特定模块相关的设置文件:/etc/security/

man  8  +模块名:查看帮助

3.2PAM工作原理

PAM认证遵循顺序   Service(服务)---PAM(配置文件)---pam_*.so

这里查看su的PAM配置文件做实例,cat  /etc/pam.d/su

3.2.1第一模块类型

1.auth:账号的认证和授权,用户名

2.Account:账户的有效性,与账户管理相关的非认证类的功能,如:用来限制/允许用户对某个服务的访问时间,限制用户的位置(例:root用户只能从控制台登录)

3.Password:用户修改密码时密码复杂度检查机制等功能

4.Session:用户会话期间的控制,如:最多打开的文件数,最多的进程数等

5.-type:表示因为缺失而不能加载的模块将不记录到系统日志,对于那些不总是安装在系统上的模块有用

3.2.2第二模块类型Contrl Flags,PAM验证类型的返回结果

1.required验证失败时依然继续,但返回Fail

2.requisite验证失败则立即结束整个验证过程,返回Fail

3.sufficient验证成功则立即返回,不再继续,否则忽略结果并继续

4.optional不用于验证,只显示信息(通常用于session类型)

3.2.3第三列要调用的功能或参数

PAM验证

3.2.4shell模块

功能检查有效shell
帮助命令格式man pam  shells
案例不允许使用/bin/csh的用户本地登录
模块

pam_shells.so只允许规定的shell类型通过,是在/etc/shells文件中存在的类型通过

四、*limit

ulimit  -a:查看全部内核

vim /etc/sysctl.conf:专门用来修改内核参数的

内核参数:

只读:只用于输出信息

五、grub加密

/etc/grub.d-目录

00_header设置grub默认参数
10_linux系统中存在多个linux版本
20_ppc_terminfo设置tty控制台
30_os_prober设置其他分区中的系统(硬盘中有多个操作系统时设置)
40_custom和41_custom用户自定义的配置

5.1GRUB 2  加密

由于GRUB 2负责引导linux系统,其作为系统中的第一道屏障的安全性非常重要,对GRUB 2进行加密可以实现安全性。

GRUB 2密码支持以下两种格式:

明文密码:密码数据没有经过加密,安全性差

PBKDF2加密密码:密码经过PBKDF2哈希算法进行加密,在文件中存储的是加密后的密码数据,安全性较高。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/3259.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

练习-字符串逆序统计

需求 完成字符串的逆序以及统计 设计一个程序,要求只能输入长度低于31的字符串,否则提示用户重新输入 打印如下内容: 您输入的字符串:abcabc 长度:6 逆序后为:cbacba 字符统计结果:{a: 2, b: 2, c: 2} 分析 1. 输入字符串(while循环) 2. 字符串长度小…

考研数学精选题目015

题目 lim ⁡ n → ∞ sin ⁡ [ π ln ⁡ ( 2 n 1 ) − ln ⁡ ( 2 n ) ] \mathop {\lim }\limits_{n \to \infty } \sin \left[ {{\pi \over {\ln \left( {2n 1} \right) - \ln \left( {2n} \right)}}} \right] n→∞lim​sin[ln(2n1)−ln(2n)π​] 来源 东南大学真题 证明 li…

Oracle数据库锁表问题解决指南:查询、释放与监控

在Oracle数据库管理中,处理锁表问题和查询正在运行的SQL是常见的任务。以下是针对这些需求的详细解析和操作步骤。 1. 查询锁定的表和对应会话 当数据库中出现性能问题或某些操作无法完成时,首先需要确认是否有锁表现象。以下SQL查询可以帮助你识别当前…

Clickhouse离线安装教程

https://blog.51cto.com/u_15060531/4174350 1. 前置 1.1 检查服务器架构 服务器:Centos7.X 需要确保是否x86_64处理器构架、Linux并且支持SSE 4.2指令集 grep -q sse4_2 /proc/cpuinfo && echo "SSE 4.2 supported" || echo "SSE 4.2 …

怡宝母公司冲刺上市:产能未满仍要募资扩产,突击分红25亿元

又一家瓶装水企业冲刺上市。 近日,怡宝母公司华润饮料(控股)有限公司(下称“华润饮料”)递交招股书,准备在港交所主板上市,BofA securities(美银证券)、中银国际、中信证…

07.OSPF的七种LSA类型

OSPF的LSA类型 在OSPF协议中,使用LSA来传递路由信息和拓扑信息,因此了解不同的LSA的内容和其功能,对了解OSPF协议的路由形成有很大帮助。这里的OSPF是v2版本,只针对IPv4来讲。 描述一条LSA的三要素: ADV Router产生者路由器、link-ID 链路标识符、LSA类型。 LSA1:每个OS…

C++初阶学习第三弹——类与对象(上)——初始类与对象

前言: 在前面,我们已经初步学习了C的一些基本语法,比如内敛函数、函数重载、缺省参数、引用等等,接下来我们就将正式步入C的神圣殿堂,首先,先给你找个对象 目录 一、类与对象是什么? 二、类的各…

Git 工作原理

Git 工作原理 | CoderMast编程桅杆https://www.codermast.com/dev-tools/git/git-workspace-index-repo.html Workspace:工作区Index / Stage:暂存区Repository:仓库区(或本地仓库)Remote:远程仓库 Git 一…

conda安装InvalidVersionSpecError: Invalid version spec: =2.7问题解决

conda安装问题 &#xff11;&#xff0e;InvalidVersionSpecError: Invalid version spec: 2.7问题&#xff12;&#xff0e;CondaHTTPError: HTTP 000 CONNECTION FAILED for url <https://repo.anaconda.com/pkgs/main/linux-64/repodata.json.bz2>&#xff13;&#x…

【课设资源分享】基于jsp的俱乐部会员系统

这份毕业设计是关于“基于JSP的健身俱乐部会员管理系统的设计与实现”。设计的主要目标是提高健身俱乐部的工作效率&#xff0c;通过集中管理顾客、员工和健身设备&#xff0c;实现俱乐部管理的规范化和科学化 源代码及论文资源点此获取 毕业设计的技术实现总结&#xff1a; …

T1级,生产环境事故—Shell脚本一键备份K8s的YAML文件

大家好&#xff0c;我叫秋意零。 最近对公司进行日常运维工作时&#xff0c;出现了一个 T1 级别事故。导致公司的“酒云网”APP的无法使用。我和我领导一起搞了一个多小时&#xff0c;业务也停了一个多小时。 起因是&#xff1a;我的部门直系领导&#xff0c;叫我**删除一个 …

数据结构练习-线性表的顺序存储

----------------------------------------------------------------------------------------------------------------------------- 1. 具有n个元素的线性表采用顺序存储结构&#xff0c;在其第i个位置插入一个新元素的算法间复杂度为 ( )(1≤i≤n1) 。 …

流程图画图规范

流程图画图规范 问题描述解决办法 问题描述 记录一下流程图画图规范 解决办法 1.使用标准形状&#xff1a; 矩形框&#xff08;通常表示处理步骤或操作&#xff09;。 菱形框&#xff08;表示决策点&#xff0c;两个或更多出口路径&#xff0c;通常标有“Yes”和“No”&…

C# 通过阿里云 API 实现企业营业执照OCR识别

目录 应用场景 关于阿里云企业营业执照OCR识别 开发运行环境 类设计 类属性 类方法 实现代码 创建 Company 类 调用举例 小结 应用场景 企业营业执照犹如个人的身份证一样&#xff0c;是​​​​​​​工商管理机关发给企业、个体经营者的准许从事某项生产活动的凭…

linux无网环境实现nginx免安装

需要用到的免安装文件可以通过下面链接下载 https://download.csdn.net/download/zzchances/89164996 安装sh脚本如下: #!/bin/bash # 当前目录 base=$(cd `dirname $0`;pwd) # 检查 /etc/nginx 目录是否存在,如果不存在则创建 if [ ! -d "/etc/nginx" ]; then …

Ribbon饥饿加载

Ribbon默认开启的是懒加载&#xff0c;在第一次访问的时候才会进行创建LoadBalanceClient,请求时间会很长。而饥饿模式会在项目启动的是后就创建&#xff0c;降低第一次访问时的功耗&#xff0c; 开启Ribbon饥饿加载 ribbon:eager-load:enbled: true#配置单个clients: userse…

干货:一篇文章让你掌握用户运营 沈阳新媒体运营培训

用户对于产品的重要性不言而喻&#xff0c;而用户运营作为最接近用户的一环&#xff0c;自然而然受到了各大互联网公司的重视。想要掌握用户运营&#xff0c;必须得先知道其市场需求和主要技能&#xff0c;本文从这两个方面对用户运营展开了分析拆解&#xff0c;梳理用户运营的…

Unity DOTS 1.0 (5) Baking System、Baking phases 和 Baking World

Baking System 一个 baking system在处理数据的方式上不同于baker。和baker一个一个处理components不同&#xff0c;它是进行批处理的&#xff0c;并且它可以经由job 和burst 大幅提升处理性能。baking system是在entity创建完成后运行&#xff0c;所以它可以访问到所有初始创…

实现printf功能代码效果

1、使用 vsnprintf 模拟 printf 功能 非宏定义情境下&#xff0c;可以用作开启通讯口调试功能 实际上是通过 vsnprintf 将接收到的 format格式化后解析到缓存区&#xff0c;这里存在缓存区大小限制&#xff0c;以及代码大小区别 #include <stdarg.h> #include "std…

Docker 备忘清单(二)

1、Docker 容器 1.1、启动和停止 docker start nginx-server 开始 docker stop nginx-server 停止 docker restart nginx-server 重启 docker pause nginx-server 暂停 docker unpause nginx-server 取消暂停 docker wait nginx-server 阻塞容器 docker kill nginx-server 发…