linux帳戶安全管理與技巧

一、實驗目的

　　　　1）掌握linux管理賬戶的基本指令；

　　　　2）了解linux使用者管理的一般原則；

二、實驗步驟

　　　　1）建立與删除普通使用者賬戶，管理組

　　　　　　管理帳戶的俱行工具及功能如下：

　　　　　　①useradd [] 添加新使用者

    　　　　   ②usermod [] 修改已存在的指定使用者

 　　　　      ③userdel [-r] 删除已存在的指定帳戶，-r參數用于删除使用者自家目錄

  　　　　     ④groupadd [] 加新組

   　　　　    ⑤groupmod [] 修改已存在的指定組

   　　　　    ⑥groupdel 删除已存在的指定組

　　　　　　操作：

　　　　　　①建立一個新使用者user1

　　　　　　    useradd user1

　　　　　　②建立一個新組group1

    　　　　　　groupadd group1

　　　　　　③建立一個新使用者user2并将其加入使用者組group1中

    　　　　　　useradd -G group1 user2

　　　　　　④建立一個新使用者user3，指定登入目錄為/www，不建立自家使用者目錄（-M）

  　　　　　　  useradd -d /www -M user3

　　　　　　⑤将使用者user2添加到附加組group1中

  　　　　　　  usermod -G group1 user2

　　　　　　

 　　　　　  至此，group1組中有user1，user2兩個使用者，用指令檢視/etc/group檔案如下圖：

 　　　　　　⑥删除使用者user3，使用者uers3從使用者組中消失

    　　　　　　userdel user3   

 　　　　　　⑦删除使用者user2，同時删除自家目錄

    　　　　　　userdel -r user2

 　　　　　　⑧删除組group1，則組group1中的使用者則被配置設定到其自己配置設定的私有組中。

　　　　　　　groupdel group1

 　　　　2）使用者密碼管理與密碼時效管理

　　　　　　①passwd指令

    　　　　　　passwd指令用來設定使用者密碼，格式為：passwd [] []

   　　　　　　 使用者修改自己的使用者密碼可直接鍵入passwd，若修改其他使用者密碼需加使用者名。超級使用者還可以使用如下指令進行使用者密碼管理：

   　　　　　　 passwd -l //禁用使用者帳戶密碼

   　　　　　　 passwd -S //檢視使用者帳戶密碼狀态

  　　　　　　  passwd -u //恢複使用者帳戶密碼

  　　　　　　  passwd -d //删除使用者帳戶密碼

   　　　　　　 在建立完使用者user1後，沒給使用者passwd密碼時，賬戶預設為禁用狀态：

　　　　　　　

　　　　　　　 1. 給使用者user1建立密碼，設定密碼

　　　　　　　　passwd user1

　　　　　　　　

 　　　　　　　接下來我們再次檢視user1狀态時，則為如下圖所示：

 　　　　　　　密碼已經設定，且為SHA512加密

　　　　　　　2. 禁用賬戶user1

　　　　　　　　passwd -l user1

 　　　  　　　3 . 恢複賬戶user1的賬戶密碼：

　　　　　　　　passwd -u user1

 　　　　　　  4. 删除使用者賬戶密碼

　　　　　　　　passwd -d user1

 　　　　　②chage指令

　　　　　　密碼時效是系統管理者用來防止機構内不良密碼的一種技術。在Linux系統上，密碼時效是通過chage指令來管理的，格式為：chage []

  　　　　　  以下是chage指令的選項說明：

   　　　　　 -m days： 指定使用者必須改變密碼所間隔的最少天數。如果值為0，密碼就不會過期。

 　　　　　   -M days： 指定密碼有效的最多天數。當該選項指定的天數加上-d選項指定的天數小于目前的日期時，使用者在使用該帳号前就必須改變密碼。

  　　　　　  -d days： 指定從1970年1月1日起，密碼被改變的天數。

  　　　　　  -I days： 指定密碼過期後，帳号被鎖前不活躍的天數。如果值為0，帳号在密碼過期後就不會被鎖。

  　　　　　  -E date： 指定帳号被鎖的日期。日期格式YYYY-MM-DD。若不用日期，也可以使用自1970年1月1日後經過的天數。

  　　　　　  -W days： 指定密碼過期前要警告使用者的天數。

   　　　　　 -l： 列出指定使用者目前的密碼時效資訊，以确定帳号何時過期。

  　　　　　  例如下面的指令要求使用者user1兩天内不能更改密碼，并且密碼最長的存活期為30天，并且密碼過期前5天通知使用者

  　　　　　  chage -m 2 -M 30 -W 5 user1

    　　　　　可以使用如下指令檢視使用者user1目前的密碼時效資訊：chage -l user1

 　　　　③PAM可插拔驗證子產品

　　　　　　PAM(Plugable Authentication Module，可插拔驗證子產品)是由Sun提出的一種認證機制。管理者通過它可以靈活地根據需要給不同的服務配置不同的認證方式而無需更改服務程                         序，同時也便于向系統中添加新的認證手段。不少應用軟體都可以與PAM進行內建，當然，作業系統的登入驗證過程也可以通過對PAM進行配置來進行。如指定密碼複雜性、指                       定使用者試圖登入的失敗次數等，以下列出對這些賬号的安全性配置。

　　　　　　1.指定密碼複雜性

　　　　　　　　修改/etc/pam.d/system-auth配置：(注意：在root使用者下進行，其餘使用者對這個檔案隻有讀的權限)

   　　　　　　　 vi /etc/pam.d/system-auth

  　　　　　　　  限制密碼最少有：2個大寫字母，3個小寫字母，3個數字，2個符号

 　　　  　　 　   檔案中有一行為：

　　　　　　　    password requisite pam_cracklib.so try_first_pass retry=3

　　　　　　　    在其後追加如下參數：

   　　　　　　　 ucredit=-2 lcredit=-3 dcredit=-3 ocredit=-2

　　　　　　2. 驗證時若出現任何與pam_tally有關的錯誤則停止登入

   　　　　　　 auth required pam_tally.so onerr=fail magic_root

　　　　　　3. 賬号驗證過程中一旦發現連續5次輸入密碼錯誤，就通過pam_tally鎖定此賬号600秒

   　　　　　　 account required pam_tally.so deny=5 lock_time=600 magic_root reset

三、分析與思考

　　　　1）思考還有哪些加強linux賬戶安全的管理方法？

　　　　　　　　開啟防火牆，僅開啟必要端口

　　　　　　　　關閉不必要的服務

　　　　　　　　清除不必要的系統賬戶

　　　　　　　　使用特定賬戶開啟特定服務，盡量不使用root

禁止root遠端登陸
      

　　　　　　　修改ssh協定端口号
      

　　　　　　　更改系統資訊，不要顯示系統版本、核心版本等
      

　　　　　　　設定連續失敗次數鎖定賬戶      

　　　　2）比較一下linux賬戶跟unix賬戶管理的異同。

　　　　　　　　①Unix系統支援多任務，控制簡單、所有資料都純文字形式存儲、儲存單根檔案、可以同時通路多個賬戶。

　　　　　　　　②Linux系統也支援多任務，程式可能由一個或者多個程序組成，每個程序可能有一個或者多個程序;多使用者，它可以運作多個使用者程式、個人賬戶受适當權限保護、是以賬                                    目已經精确定義了系統控制權。

四、心得體會

　　　　掌握了linux管理賬戶的基本指令；了解了linux使用者管理的一般原則。

五、課後習題