/etc/pam.d/su文件详解

时间: 2023-10-13 12:07:50 浏览: 325

Linux基线加固.pdf

### Linux基线加固知识点 #### 一、理解基线加固的重要性在IT行业中，系统安全性是维护企业数据安全的关键因素之一。随着网络安全威胁的日益增多，对于操作系统进行基线加固显得尤为重要。基线加固是指根据一定的标准或指南，对系统的安全性进行评估和调整的过程，以确保系统符合最低的安全要求。 #### 二、基线加固的目标与作用 - **目标**：提高系统的安全性，减少潜在的安全风险。 - **作用**： - 防止未授权访问。 - 减少系统漏洞被利用的可能性。 - 提高系统稳定性及性能。 - 满足合规性要求。 #### 三、适用环境本文档主要适用于基于Red Hat的Linux系统。在进行基线加固前，请确保已为虚拟机制作快照，并保持登录状态，以便出现问题时能快速恢复。 #### 四、基线配置关键点详解 ##### 1. 密码复杂度设置 - **配置文件**: `/etc/pam.d/system-auth` - **实现方法**: - 使用`pam_cracklib.so`模块设置密码复杂度。例如: ```sh password required pam_cracklib.so try_first_pass minlen=8 ``` - `minlen`参数用于设置密码最小长度。 ##### 2. 登录失败暂锁机制 - **配置文件**: - `/etc/pam.d/system-auth` - `/etc/pam.d/sshd` (针对SSH远程登录) - **实现方法**: - 使用`pam_tally.so`模块实现登录失败后暂时锁定账户的功能。例如: ```sh auth required pam_tally.so deny=5 unlock_time=600 even_deny_root root_unlock_time=3600 account required pam_tally.so ``` - `deny`参数设置连续登录失败次数。 - `unlock_time`设置解锁时间（秒）。 ##### 3. 密码重复使用限制 - **配置文件**: `/etc/pam.d/system-auth` - **实现方法**: - 使用`pam_unix.so`模块限制密码重复使用的次数。例如: ```sh password sufficient pam_unix.so remember=5 ``` - `remember`参数用于指定用户最近几次使用过的密码不再允许使用。 ##### 4. 设置登录超时退出 - **配置文件**: `/etc/profile` - **实现方法**: - 添加`TMOUT`变量设置登录超时自动退出时间。例如: ```sh TMOUT=600 export TMOUT ``` ##### 5. 密码策略与默认访问权限 - **配置文件**: `/etc/login.defs` - **实现方法**: - 设置密码时效性: - 最小长度8位。 - 最大使用时间90天。 - 最小使用天数6天。 - 提醒时间30天。 - 修改默认访问权限: - 对重要文件目录权限进行设置，例如: ```sh chmod 755 /etc ``` #### 五、注意事项与问题解决 - **权限设置过严导致的问题**: - 修改`/etc`目录权限可能导致系统无法正常登录。原因可能是`nscd`服务缓存无法正确读取`/etc/passwd`和`/etc/group`文件。 - 解决方案: - 关闭`nscd`服务并禁止其自启动。 - 调整目录权限至适当水平。 - **SSH登录问题**: - `connect reset by peer`错误通常由`/etc/ssh/`下的`key`文件权限过大引起。 - 解决方法:确保SSH配置文件权限正确，例如: ```sh chmod 600 /etc/ssh/ssh_host_* ``` - **禁止匿名及root登录FTP**: - 编辑`/etc/vsftpd/vsftpd.conf`: ```sh anonymous_enable=NO local_enable=YES write_enable=YES chroot_local_user=YES allow_writeable_chroot=YES ``` - 禁止root登录: ```sh root_login=NO ``` #### 六、日志审计与系统监控 - **安装日志服务**: - `syslog`、`rsyslog`或`syslog-ng`。 - **配置日志记录**: - 在`/etc/rsyslog.conf`或`/etc/syslog.conf`中添加规则: ```sh *.* /var/log/cron *.info;mail.none;authpriv.none;cron.none;daemon.none /var/adm/messages ``` - 在`/etc/syslog-ng/syslog-ng.conf`中添加规则: ```sh destination d_local1 { file("/var/log/cron"); }; log { source(s_all); facility(local1); destination(d_local1); }; ``` #### 七、其他安全设置 - **禁止非wheel组用户su为root**: - 在`/etc/pam.d/su`中添加: ```sh auth sufficient pam_rootok.soauth required pam_wheel.so group=wheel ``` Linux基线加固涉及多个方面的安全配置，包括密码策略、登录控制、日志审计等。这些配置有助于提高系统的安全性，降低潜在的安全风险。企业在实施基线加固时应根据自身情况灵活调整，并密切关注系统的稳定性和性能表现。

/etc/pam.d/su文件是Linux系统中用于控制su命令的PAM（Pluggable Authentication Modules）配置文件。PAM是一个模块化的身份验证架构，可以用于管理不同类型的身份验证。 su命令可以让普通用户切换到超级用户（root）账户，但是需要输入root账户的密码。PAM框架通过在su命令运行时插入模块，来控制su命令的行为和安全性。 /etc/pam.d/su文件定义了su命令使用的PAM模块和它们的顺序。每个模块都有一个唯一的名称，例如auth、account、password和session。以下是/etc/pam.d/su文件的一些常见条目的含义： - auth：控制身份验证。例如，检查用户的密码是否正确。 - account：控制用户账户的访问。例如，检查用户是否被禁用。 - password：控制密码的更改。例如，检查密码的复杂度。 - session：控制用户会话的创建和销毁。例如，设置用户环境变量。每个条目都由一个或多个PAM模块组成。例如，auth条目可能包含pam_unix、pam_wheel和pam_faillock模块，它们分别用于检查用户密码、检查用户是否在wheel组中以及处理失败的登录尝试。整个/etc/pam.d/su文件的目的是为了确保su命令只能由授权的用户使用，并且在使用超级用户权限时仍然保持安全。如果您想更改su命令的默认行为，可以编辑/etc/pam.d/su文件并更改PAM模块的顺序或添加新的模块。

阅读全文

/etc/pam.d/su文件详解

相关推荐

linux操作系统PAM模块实例

Telnet服务安装与配置[文].pdf

oracle在linux系统中的安装使用详解

Unix和Linux下安装Oracle 10g 的方法详解

RedHat6 安装 oracle11g详解，本人亲测

Linux操作系统PAM模块详解与实例

Linux网关与安全设置详解

Linux应用技巧与gdb使用详解

Linux操作系统基础-账号管理详解

CentOS 7 安装后用户权限与防火墙配置详解

CentOS 5.3下Oracle 10g安装教程：步骤详解

Linux下Oracle 11g服务器安装与环境配置详解

红旗Linux命令操作手册：远程登录与SSH配置详解

Linux下Oracle安装指南：解决常见问题与步骤详解

CentOS 6.6 Oracle 11g 安装指南：配置与步骤详解

Linux Shell脚本：root权限切换与Web应用体系结构详解

Linux系统用户认证机制详解：从PAM到Kerberos的全面攻略

Linux用户和权限管理详解

Red Hat Enterprise Linux 5: 用户和权限管理详解

最新推荐

YOLO算法-城市电杆数据集-496张图像带标签-电杆.zip

(177406840)JAVA图书管理系统毕业设计(源代码+论文).rar

(35734838)信号与系统实验一实验报告

Java毕业设计项目：校园二手交易网站开发指南

管理建模和仿真的文件

【MVC标准化：肌电信号处理的终极指南】：提升数据质量的10大关键步骤与工具

能否提供一个在R语言中执行Framingham数据集判别分析的详细和完整的代码示例？

Blaseball Plus插件开发与构建教程

"互动学习：行动中的多样性与论文攻读经历"

【天线性能提升密籍】：深入探究均匀线阵方向图设计原则及案例分析