linux帐户安全管理与技巧（学习笔记）

（一）预先了解的知识

Linux下的帐户系统文件主要有/etc/passwd、/etc/shadow、/etc/group和/etc/gshadow 4个。

（1）/etc/passwd文件中每行定义一个用户帐号，一行中又划分为多个不同的字段定义用户帐号的不同属性，各字段用“：”隔开。

    各字段定义如下：

    用户名：用户登录系统时使用的用户名，它在系统中是唯一的。

    口令：此字段存放加密的口令。在此文件中的口令是x，这表示用户的口令是被/etc/shadow文件保护的，所有加密口令以及和口令有关的设置都保存在/etc/shadow中。

    用户标识号：是一个整数，系统内部用它来标识用户。每个用户的UID都是唯一的。root用户的UID是0，1~499是系统的标准帐户，普通用户从500开始。

    组标识号：是一个整数，系统内部用它来标识用户所属的组。

    注释性描述：例如存放用户全名等信息。

    自家目录：用户登录系统后进入的目录。

    命令解释器：批示该用户使用的shell，Linux默认为bash。

（2）/etc/passwd文件对任何用户均可读，为了增加系统安全性，用户的口令通常用shadow passwords保护。/etc/shadow只对root用户可读。在安装系统时，会询问用户是否启用shadow passwords功能。在安装好系统后也可以用pwconv命令和pwunconv来启动或取消shadow passwords保护。经过shadow passwords保护的帐户口令和相关设置信息保存在/etc/shadow文件里。

    各字段意义如下：

    用户名：用户的帐户名

    口令：用户的口令，是加密过的

    最后一次修改时间：从1970年1月1日起，到用户最后一次更改口令的天数

    最小时间间隔：从1970年1月1日起，到用户可以更改口令的天数

    最大时间间隔：从1970年1月1日起，到用户必须更改口令的天数

    警告时间：在用户口令过期之前多少天提醒用户更新

    不活动时间：在用户口令过期之后到禁用帐户的天数

    失效时间：从1970年1月1日起，到帐户被禁用的天数

    标志：保留位

（3）/etc/group文件。将用户分组是Linux中对用户进行管理及控制访问权限的一种手段。当一个用户同时是多个组的成员时，在/etc/passwd中记录的是用户所属的主组，也就是登录时所属的默认组，而其他的组称为附加组。用户要访问附加组的文件时，必须首先使用newgrp命令使自己成为所要访问的组的成员。组的所有属性都存放在/etc/group中，此文件对任何用户均可读。

     各字段意义如下：

     组名：该组的名称

     组口令：用户组口令，由于安全性原因，已不使用该字段保存口令，用“x”占位

    GID：组的识别号，和UID类似，每个组都有自己独有的ID号，不同组的GID不会相同

    组成员：属于这个组的成员

（4）/etc/gshadow文件用于定义用户组口令、组管理员等信息，该文件只有root用户可以读取。

    各字段意义如下：

    组名：用户组名称，该字段与group文件中的组名称对应

    组口令：用户组口令，该字段用于保存已加密的口令

    组的管理员帐号：组的管理员帐号，管理员有权对该组添加、删除帐号

    组成员：属于该组的用户成员列表，用“，”分隔

 

（二）建立与删除普通用户账户，管理组

 

  管理帐户的俱行工具及功能如下：

    useradd [] 添加新用户

    usermod [] 修改已存在的指定用户

    userdel [-r] 删除已存在的指定帐户，-r参数用于删除用户自家目录

    groupadd [] 加新组

    groupmod [] 修改已存在的指定组

    groupdel 删除已存在的指定组

创建一个新用户user1

    useradd user1

    查看用户是否创建成功

创建一个新组group1

    groupadd group1

创建一个新用户user2并将其加入用户组group1中

    useradd -G group1 user2

创建一个新用户user3，指定登录目录为/www，不创建自家用户目录（-M）

    useradd -d /www -M user3

将用户user2添加到附加组group1中

    usermod -G group1 user1

    至此，group1组中有user1，user2两个用户

删除用户user3，用户uers3从用户组中消失

    userdel user3      

删除用户user2，同时删除自家目录

    userdel -r user2   

删除组group1，则组group1中的用户则被分配到其自己分配的私有组中。   

    groupdel group1

 

（三）用户口令管理与口令时效管理

passwd命令

    passwd命令用来设置用户口令，格式为：passwd [] []

    用户修改自己的用户密码可直接键入passwd，若修改其他用户密码需加用户名。超级用户还可以使用如下命令进行用户口令管理：

    passwd -l //禁用用户帐户口令

    passwd -S //查看用户帐户口令状态

    passwd -u //恢复用户帐户口令

    passwd -d //删除用户帐户口令

    在创建完用户user1后，没给用户passwd口令时，账户默认为禁用状态：

给用户user1创建口令，设置为：111111

    passwd user1

    接下来我们再次查看user1状态时，则为如下图所示：

    密码已经设置，且为MD5加密

禁用账户user1

    passwd -l user1

恢复账户user1的账户口令：

    passwd -u user1

删除用户账户口令

    passwd -d user1

    用户user1的密码即为空。

chage命令

    口令时效是系统管理员用来防止机构内不良口令的一种技术。在Linux系统上，口令时效是通过chage命令来管理的，格式为：chage []

    下面列出了chage命令的选项说明：

    -m days： 指定用户必须改变口令所间隔的最少天数。如果值为0，口令就不会过期。

    -M days： 指定口令有效的最多天数。当该选项指定的天数加上-d选项指定的天数小于当前的日期时，用户在使用该帐号前就必须改变口令。

    -d days： 指定从1970年1月1日起，口令被改变的天数。

    -I days： 指定口令过期后，帐号被锁前不活跃的天数。如果值为0，帐号在口令过期后就不会被锁。

    -E date： 指定帐号被锁的日期。日期格式YYYY-MM-DD。若不用日期，也可以使用自1970年1月1日后经过的天数。

    -W days： 指定口令过期前要警告用户的天数。

    -l： 列出指定用户当前的口令时效信息，以确定帐号何时过期。

    例如下面的命令要求用户user1两天内不能更改口令，并且口令最长的存活期为30天，并且口令过期前5天通知用户

    chage -m 2 -M 30 -W 5 user1

 

 

 

（四）PAM可插拔验证模块

指定密码复杂性

    修改/etc/pam.d/system-auth配置：(注意：在root用户下进行，其余用户对这个文件只有读的权限)

    vi /etc/pam.d/system-auth

    限制密码最少有：2个大写字母，3个小写字母，3个数字，2个符号

    文件中有一行为：

    password requisite pam_cracklib.so try_first_pass retry=3

    在其后追加如下参数：

    ucredit=-2 lcredit=-3 dcredit=-3 ocredit=-2

验证时若出现任何与pam_tally有关的错误则停止登录

    auth required pam_tally.so onerr=fail magic_root

账号验证过程中一旦发现连续5次输入密码错误，就通过pam_tally锁定此账号600秒

    account required pam_tally.so deny=5 lock_time=600 magic_root reset