學習筆記
1.Linux
實驗環境:CentosOS5.6試驗台 特點:一切皆檔案(VFS)伺服器
檢視防火牆:
2.安全機制
身份認證+通路控制(權限)+審計(日志)
身份認證:本地; 遠端(telnet+SSH)
使用者(user):1.root UID:0 /etc/passwd (passwd:使用者名)
2.普通使用者 UID:(500-65534) /etc/shadow
3.系統使用者 UID:(1-499)
使用者組(group)---權限相同的使用者集合(多任務多使用者)
/etc/group (group:組名)
/etc/gshadow (gshadow:組密碼)
ie -a:檢視目前使用者所在組
實驗:
1.任務一:建立與删除普通使用者賬戶,管理組
管理帳戶的俱行工具及功能如下:
useradd [] 添加新使用者
usermod [] 修改已存在的指定使用者
userdel [-r] 删除已存在的指定帳戶,-r參數用于删除使用者自家目錄
groupadd [] 加新組
groupmod [] 修改已存在的指定組
groupdel 删除已存在的指定組
eg:
建立一個新使用者user1,新組group1,建立新使用者user2并将其加入使用者組group1中,建立一個新使用者user3,指定登入目錄為/www,不建立自家使用者目錄(-M)
将使用者user1添加到附加組group1中:
删除使用者user3,使用者uers3從使用者組中消失
删除使用者user2,同時删除自家目錄
删除組group1,則組group1中的使用者則被配置設定到其自己配置設定的私有組中
2.任務二:使用者密碼管理與密碼時效管理
(1)passwd指令
passwd -l //禁用使用者帳戶密碼
passwd -S //檢視使用者帳戶密碼狀态
passwd -u //恢複使用者帳戶密碼
passwd -d //删除使用者帳戶密碼
給使用者user1建立密碼并檢視
禁用賬戶user1
恢複賬戶user1的賬戶密碼:
删除使用者賬戶密碼:
(2)chage指令
-m days: 指定使用者必須改變密碼所間隔的最少天數。
-M days: 指定密碼有效的最多天數。
-d days: 指定從1970年1月1日起,密碼被改變的天數。
-I days: 指定密碼過期後,帳号被鎖前不活躍的天數。
-E date: 指定帳号被鎖的日期。
-W days: 指定密碼過期前要警告使用者的天數。
-l: 列出指定使用者目前的密碼時效資訊,以确定帳号何時過期。
任務三:PAM可插拔驗證子產品
1. 指定密碼複雜性
修改/etc/pam.d/system-auth配置:(注意:在root使用者下進行,其餘使用者對這個檔案隻有讀的權限)
vi /etc/pam.d/system-auth
2. 驗證時若出現任何與pam_tally有關的錯誤則停止登入
auth required pam_tally.so onerr=fail magic_root
3. 賬号驗證過程中一旦發現連續5次輸入密碼錯誤,就通過pam_tally鎖定此賬号600秒
account required pam_tally.so deny=5 lock_time=600 magic_root reset
分析與思考:
1)思考還有哪些加強linux賬戶安全的管理方法?
使用安全的遠端連接配接
2)比較一下linux賬戶跟unix賬戶管理的異同。
Linux 是一個類似 Unix 的作業系統,Unix 要早于 Linux,Linux 的初衷就是要替代 UNIX,并在功能和使用者體驗上進行優化,