用戶賬號,是計算機使用者的身份憑證和標識,每一個要訪問系統資源的人,必須憑證借其用戶賬號才能進入計算機。
創(chuàng)新互聯是一家專業(yè)提供渾江企業(yè)網站建設,專注與網站設計、成都網站制作、H5頁面制作、小程序制作等業(yè)務。10年已為渾江眾多企業(yè)、政府機構等服務。創(chuàng)新互聯專業(yè)網站制作公司優(yōu)惠進行中。
在Linux系統中,除了用戶手動創(chuàng)建的各種賬號之外,還包括隨系統或程序安裝過程中而生成的其他大量賬號。除了超級用戶root之外,其他大量賬戶只是用來維護系統運作、自動或保持服務進程,一般是不允許登錄的,因此也稱為非登錄用戶。
1、首先輸入grep "bash" /etc/passwd 查看有哪些用戶可以登錄當前的服務器。
2、創(chuàng)建新用戶lisi,輸入useadd lisi 敲擊回車,接著輸入passwd ilsi 設置密碼。
3、接下來我們要做的就是如何對我們useradd這個文件進行控制,輸入lsatt /etc/passwd /etc/shadow,看看文件是否有鎖住。
4、現在需要給文件上鎖,輸入
chattr +i /etc/passwd /etc/shadow/
5、這時候我們再到文件已經上鎖,用useradd看看是否可以創(chuàng)建用戶,再輸入tail -5 /etc/passwd 看看有沒有創(chuàng)建成功。
6、可以看到用戶創(chuàng)建失敗,接下來進行解鎖輸入
chattr -i /etc/passwd /etc/shadow
7、可以看到文件屬于解鎖狀態(tài)了,接下來我們新建用戶試試看是否成功。
在不同的網絡環(huán)境中,為了降低密碼被猜出或者被暴力破解的風險,用戶應養(yǎng)成更改密碼的習慣,避免長期使用一個密碼。管理員可以在服務器端限制用戶密碼的最大有效天數,對于密碼已過期的用戶,登錄將被要求重新設密碼,否則將拒絕登錄。
1、輸入vim etc/shadow 查看賬戶的密碼文件。
2、可以看到其中root和一些已存在用戶的密碼有效期是永久,接下來我們在配置文件里修改已存在用戶,輸入vim /etc/login.defs,進入可以看到全是密碼屬性,按"/“輸入99999查找到該位置,dw刪除,按"a"將密碼最長有效期修改為30天,wq保存退出。
3、進入剛才的密碼文件看看是否修改成功。
4、這時候新添加個用戶,再進入密碼文件最長有效期是不是30天。
5、輸入chage -M 30 wangwu ,進行以創(chuàng)建的用戶修改有效期。
6、接下來就是用chage -d 0指定用戶下次登錄時修改密碼。
7、這時候我們輸入一個新密碼會發(fā)現并不可以登錄。
8、我們再輸入一個復雜性的密碼看看,是否可以。
9、發(fā)現還是失敗了,因為它的不允許使用連續(xù)的字符和連續(xù)的阿拉伯數字。
Shell環(huán)境的命令歷史機制為用戶提供了極大的便利,但另一方面也給用戶帶來了潛在的風險。只要獲得用戶的命令歷史文件,該用戶的命令操作過程將會一覽無余,如果曾經在命令行輸入明文的密碼,則無意之中服務器的安全壁壘又多了一個缺口。
1、輸入history查看輸入過的歷史命令記錄。
2、通過修改/etc/profile文件中的環(huán)境變量值,可以影響系統中的所有用戶。
3、其中歷史命令的記錄條數默認為1000條,我們按“/”查詢,Shift+R進行替換,輸入20,wq退出保存,修改命令歷史記錄為20條。
4、輸入history查看是否顯示歷史命令20條。
5、可以發(fā)現修改保存退出之后也沒有執(zhí)行,這時候輸入source /etc/profile,再看看是否可以。
當每次修改完環(huán)境變量之后,如果不想重啟的話一定要輸入source /etc/profile 讓它生效。
1、在每個用戶里都有一個環(huán)境變量配置文件,輸入cd /home/zhanngsan,可以看到用戶環(huán)境變量配置文件。
2、輸入vim .bash_logout,進入配置文件。
3、在配置文件中輸入history -c clear wq保存退出,這樣每次注銷了之后就會清空歷史命令。
自動注銷
Bash環(huán)境終端中,還可以設置一個閑置超時時間,當超過指定的時間沒有任何輸入時即自動注銷終端。
1、輸入vim /etc/profile進入配置文件。
2、閑置超時由變量TMOUT來控制,默認單位為秒,在配置文件中操作TMOUT會發(fā)現沒有這個指令。
3、按“o"輸入export TMOUT=200,wq保存。
4、再輸入source /etc/profile 執(zhí)行。
然后我們之后只要超過200秒系統客戶端就會自動注銷。
大多數Linux服務器并不建議用戶直接以root用戶直接登錄。一方面可以大大減少因失誤而導致的破壞,另一方面也降低了特權密碼在不安全的網絡中被泄露的風險。鑒于這些原因,需要為普通用戶體提供一種身份切換或權限提升機制,以便在必要的時候執(zhí)行權限。
su命令——切換用戶
使用su命令,可以切換為指定的另一個用戶,從而具有該用戶的所有權限。
1、這時候我們用普通用戶登錄輸入su root 切換管理員身份。
2、輸入grep "bash$" /etc/passwd查看有可以登錄的用戶。
3、用su可以在用戶間來回切換。
默認情況下,任何用戶讀允許使用su命令,從而有機會反復嘗試其他用戶的登錄密碼,帶來安全風險。為了加強su命令的使用控制,可以借助pam_wheel認證模塊,只允許極個別用戶使用su命令進行切換。
4、可以看出只要是知道root的密碼就都可以切換至root輸入密碼進入,我們接下來講的就是指定用戶切換root。
輸入vim /etc/pam.d/su進入配置文件。
移動至#auth處,輸入dw刪除#開啟wheel,輸入wq保存并退出。
輸入vim /etc/group 查看wheel相對應的用戶是什么。
輸入id akg查看用戶是否被默認添加到wheel里
現在添加用戶bose看看bose可不可以切換root用戶。
我們可以看到拒絕權限,現在bose就不可以切換用戶,接下來輸入gpasswd -a bose wheel 添加到wheel里,再進行用戶切換。
sudo命令——提升執(zhí)行權限
通過sudo命令可以讓普通用戶擁有一部分管理權限,有需要將root的用戶密碼告訴它,不過需要由管理員預先進行授權,指定允許哪些用戶以超級用戶的身份來執(zhí)行哪些命令。
1、輸入vim /etc/sudoers就可以進入配置文件。
2、我們之前已經把akg和bose用戶都添加到了wheel組里了,進入配置文件看到wheel允許所有用戶以超級用戶的身份來執(zhí)行所有命令。
3、新創(chuàng)建用戶lisi。
4、輸入id lisi 可以看到lisi不屬于wheel組。
5、現在我們切換lisi用戶登錄,登錄之后我們使用看看是否可以修改ip地址,右擊打開終端,輸入ipconfig ens33 192.71.140。
6、發(fā)現并不可以修改ip地址,輸入which ifconfig查看該命令在哪個目錄里。
7、ipconfig的命令在/sbin/里,輸入sudo ifconfig 192.168.71.140,就可以修改ip地址,會提示讓我們輸入用戶密碼。
8、但是輸入密碼之后會提示我們不在sudoers當中。
9、剛才我們的bose和akg都在wheel組中,現在點擊注銷切換用戶,現在我們輸入sudo ifconfig ens33 192.168.71.140,修改ip地址。
10、如果我們想讓lisi用戶也可以修改ip地址的話也是有辦法的,首先切換用戶至root,輸入vim /etc/sudoers進入配置文件在Host Aliases這一欄空白處寫入:lisi(用戶)localhost(主機名)=/sbin/ifconfig(使用sbin里的ifconfig命令),wq保存退出。
11、退出保存之后切換到isi用戶,輸入sudo ifconfig ens33 192.168.71.139,我們可以看到lisi也可以修改ip地址。
PAM是Linux系統中可插拔認證模塊,Linux系統使用su命令存在安全隱患,默認情況,任何情況下,任何用戶都允許使用su命令,從而有機會反復嘗試其他用戶的登錄密碼,帶來安全風險。
為了加強su命令的使用控制,可以借助PAM認證模塊,只允許極個別用戶使用su命令進行切換。
1、PAM及其作用
(1)、PAM是一種高效而且靈活便利的用戶級別認證方式,它也是當前Linux服務器普遍使用的認證方法。
(2)、PAM提供了對所有服務進行認證的中央機制,適用于login,遠程登錄,su等應用程序。
(3)、系統管理員通過PAM配置文件來制定不同應用程序的不同認證策略。
PAM認證原理
(1)、PAM認證一般遵循的順序:Service(服務)—>PAM(配置文件)—>pam_*.so
(2)、PAM認證首先要確定哪一項服務,然后加載相應的PAM配置文件(/etc/pam.d下),最后調用認證文件進行安全認證。
(3)、用戶訪問服務器的時候,服務器的某一個服務程序把用戶的請求發(fā)送到PAM沒模塊進行認證。不同的應用程序所對應的PAM模塊也是不同的。
PAM認證的結構
(1)每一行都是一個獨立的認證過程
(2)每一行可以區(qū)分為三個字段:
1)認證類型
2)控制類型
3)PAM模塊及其參數