Linux 基础教程系统安全基础概要1.pptVIP

使用影子口令 * 例如：Wd0000-2400 | Wk1800-0800 表示每天晚6点到次日早8点或周末全天。 * 注意：（1）root 用户不受 maxlogins 控制。 （2）root 可以不受限制，但是其登录数还是计算到总登录数里面去。 假设，已有50个root账户登录到系统，其他用户这时候想登录到系统是不会成功的。 * * pam_tally2.so模块 设置在登录失败若干次之后锁定账户 将用户失败的登录次数记录于二进制文件/var/log/tallylog 管理员可以使用如下命令将某用户的失败登录计数器清零从而解除账户锁定 # /sbin/pam_tally2 --user username --reset 常用的模块参数 onerr=fail：当登录失败时 deny=n：n次之后禁止登录 * * 使用pam_tally2.so模块设置登录失败后的账户锁定 /etc/pam.d/system-auth auth required pam_tally2.so deny=5 onerr=fail account required pam_tally2.so * * 访问控制 登录访问控制——pam_access.so 列表访问控制——pam_listfile.so 时间访问控制——pam_time.so 资源访问控制——pam_limits.so * * pam_access.so模块简介 通过 用户及其来源 实现登录访问控制 根据指定的 (user, host) 允许或拒绝用户的网络登录 根据指定的 (user, tty)允许或拒绝用户的本地登录 可用的模块测试类型 auth, account, password and session 默认的模块配置文件 /etc/security/access.conf # man 5 access.conf 常用模块参数 accessfile=filename 指定与默认模块配置文件分离的其他配置文件 * * pam_access的模块配置文件 权限（permission） +代表允许，-代表拒绝 用户（users） 以空格间隔的用户名或组名，ALL表示所有用户 来源（origins） ttyX 表示非远程登录， LOCAL 表示任何本地登录 somehostname、FQDN、. 、192.168.0.、/24 ALL 表示所有来源，EXCEPT 表示除了…之外 * * 权限 : 用户 : 来源 pam_access.so举例（1） 修改login的PAM配置文件 /etc/pam.d/login account required pam_nologin.so account required pam_access.so ………… 修改配置文件 /etc/security/access.conf - : root : tty2 - : jjheng : LOCAL EXCEPT tty4 * * 禁止 root 用户从 tty2 上登录， 用户 jjheng 可以在除 tty4 本地终端之外的所有终端登录。 pam_access.so举例（2） 修改sshd的PAM配置文件 /etc/pam.d/sshd account required pam_nologin.so account required pam_access.so accessfile=/etc/ssh/sshd_access.conf ………… 修改配置文件 /etc/ssh/sshd_access.conf - : root : ALL EXCEPT centos.ls-al.me - : root : ALL EXCEPT /24 - : ALL EXCEPT osmond : ALL * * 限制 root 用户只能从 centos.ls-al.me 主机上使用 ssh 登录本系统， 限制 root 用户只能从 /24上使用 ssh 登录本系统， 禁止所有除了 osmond 之外的用户使用 ssh 登录本系统。 pam_listfile.so模块简介 使用允许/禁止列表实现访问控制 基于 user 的允许/禁止列表 基于 group 的允许/禁止列表 基于 tty|rhost|ruser|shell 的允许/禁止列表 可用的模块测试类型 auth, account, password and session 模块配置文件 存放同类型的项目，如全部为用户名或全部为组名 每一行