• 微信公众号:美女很有趣。 工作之余,放松一下,关注即送10G+美女照片!

linux帐户安全管理与技巧

开发技术 开发技术 5小时前 2次浏览

一、实验目的

1、掌握linux管理账户的基本命令;

2、了解linux用户管理的一般原则;

 

二、实验环境

CentosOS5.6试验台。

 

三、实验内容和步骤

任务一:建立与删除普通用户账户,管理组

 linux帐户安全管理与技巧

 

 linux帐户安全管理与技巧

 

 linux帐户安全管理与技巧

 

 linux帐户安全管理与技巧

 

 linux帐户安全管理与技巧

 

 

 

 

 

 

创建一个新用户user3,指定登录目录为/www,不创建自家用户目录(-M)

 linux帐户安全管理与技巧

 

 

将用户user2添加到附加组group1中

 linux帐户安全管理与技巧

 

 

 linux帐户安全管理与技巧

 

 

 

删除用户user2,同时删除自家目录

 linux帐户安全管理与技巧

 

 

 

删除组group1,则组group1中的用户则被分配到其自己分配的私有组中。

 linux帐户安全管理与技巧

 

 linux帐户安全管理与技巧

 

 

 

 

任务二:用户口令管理与口令时效管理

 在创建完用户user1后,没给用户passwd口令时,账户默认为禁用状态:

 linux帐户安全管理与技巧

 

 

 

1. 给用户user1创建口令,设置为:111111

 linux帐户安全管理与技巧

 

 

    

 

    passwd user1

 

    接下来我们再次查看user1状态时,则为如下图所示:

 linux帐户安全管理与技巧

 

 

    

 

    密码已经设置,且为MD5加密

 

2. 禁用账户user1

 linux帐户安全管理与技巧

 

 

    linux帐户安全管理与技巧

 

 

 

 

3. 恢复账户user1的账户口令:

 linux帐户安全管理与技巧

 

 

 

    

 

4. 删除用户账户口令

 linux帐户安全管理与技巧

 

 

 

 

2)chage命令

 

    口令时效是系统管理员用来防止机构内不良口令的一种技术。在Linux系统上,口令时效是通过chage命令来管理的,格式为:chage []

 

    下面列出了chage命令的选项说明:

 

    -m days: 指定用户必须改变口令所间隔的最少天数。如果值为0,口令就不会过期。

 

    -M days: 指定口令有效的最多天数。当该选项指定的天数加上-d选项指定的天数小于当前的日期时,用户在使用该帐号前就必须改变口令。

 

    -d days: 指定从1970年1月1日起,口令被改变的天数。

 

    -I days: 指定口令过期后,帐号被锁前不活跃的天数。如果值为0,帐号在口令过期后就不会被锁。

 

    -E date: 指定帐号被锁的日期。日期格式YYYY-MM-DD。若不用日期,也可以使用自1970年1月1日后经过的天数。

 

    -W days: 指定口令过期前要警告用户的天数。

 

    -l: 列出指定用户当前的口令时效信息,以确定帐号何时过期。

 

    例如下面的命令要求用户user1两天内不能更改口令,并且口令最长的存活期为30天,并且口令过期前5天通知用户

 

    chage -m 2 -M 30 -W 5 user1

 

    可以使用如下命令查看用户user1当前的口令时效信息:chage -l user1

 linux帐户安全管理与技巧

 

 

    

 

 

 

任务三:PAM可插拔验证模块

 

 

    PAM(Plugable Authentication Module,可插拔验证模块)是由Sun提出的一种认证机制。管理员通过它可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系统中添加新的认证手段。不少应用软件都可以与PAM进行集成,当然,操作系统的登录验证过程也可以通过对PAM进行配置来进行。如指定密码复杂性、指定用户试图登录的失败次数等,以下列出对这些账号的安全性配置。

 

1. 指定密码复杂性

 

    修改/etc/pam.d/system-auth配置:(注意:在root用户下进行,其余用户对这个文件只有读的权限)

 

    vi /etc/pam.d/system-auth

 

    限制密码最少有:2个大写字母,3个小写字母,3个数字,2个符号

 

    文件中有一行为:

 

    password requisite pam_cracklib.so try_first_pass retry=3

 

    在其后追加如下参数

 

    ucredit=-2 lcredit=-3 dcredit=-3 ocredit=-2

 

2. 验证时若出现任何与pam_tally有关的错误则停止登录

 

    auth required pam_tally.so onerr=fail magic_root

 

3. 账号验证过程中一旦发现连续5次输入密码错误,就通过pam_tally锁定此账号600秒

 

    account required pam_tally.so deny=5 lock_time=600 magic_root reset

 

    linux帐户安全管理与技巧

 

 

 

 

四、分析与思考

1)思考还有哪些加强linux账户安全的管理方法?

设置访问权限,查看文件、目录的权限和归属

2)比较一下linux账户跟unix账户管理的异同。

口令不同,文件存放位置不同

 

五、答题

linux帐户安全管理与技巧

 


程序员灯塔
转载请注明原文链接:linux帐户安全管理与技巧
喜欢 (0)