pam

观看前说明 文档阅读说明，本篇文档主要讲解在工作中如何使用ftp虚拟用户替代系统用户实现文件传输等。 1、Vsftpd的安装 vsftp安装通过yum进行安装，yum具体配置方式就不再本文档中体现。 # vsftpd是ftp server服务，用于ftp服务 # ftp是ftp client命令，用户可通过此命令登陆到对端的ftp server上 yum install -y vsftpd ftp 2、创建虚拟用户映射用户 使用虚拟用户需要在系统上创建一个系统用户，将所有的虚拟用户映射到此系统用户上（此系统用户需要修改成不可登陆用户，安全考虑！） 由于系统的特殊性，对虚拟用户创建有不同的要求（各系统自定义） # useradd Linux系统创建用户命令 # -d 指定用户家目录 # -s 指定用户登陆shell，nologin代表用户不可登陆 # -g 指定用户归属组（系统要求，否则文件传输时权限会出现问题） # iotdn_virftp 虚拟用户所映射的系统用户，该用户可不设置密码，如安全要求，可设置一个比较长的密码 useradd -d /cbbsiot_virftp -s /sbin/nologin -g wlwjf iotdn_virftp 3、Vsftpd服务配置 # 切换到vsftpd目录 cd /etc/vsftpd/ # 将默认的vsftpd配置文件备份 mv

对于企业来说，安全加固是一门必做的安全措施。主要分为：账号安全、认证授权、协议安全、审计安全。总的来说，就是4A（统一安全管理平台解决方案），账号管理、认证管理、授权管理、审计管理。用漏洞扫描工具扫描了一下自己的阿里云主机，发现很多系统问题不合格，所以列举总结了以下Linux系统安全加固的方法，仅供参考。 1 、用户账号 --- 唯一身份。 2 、统一认证 --- 你是谁。 3 、授权管理 --- 你有什么权限。 4 、操作审计 --- 你可以干什么。 以下文档规定了国内4A认证公司系统维护管理的Linux操作系统的主机应当遵循的操作系统安全性设置标准，旨在之道系统管理人员或者安全检查人员进行Linux操作系统的安全合规性检查和配置。 第一类：账号口令 1 ）、口令生存期 [root@wenzhiyi ~]# vim /etc/login.defs PASS_MAX_DAYS 90 用户的密码不过期最多的天数 PASS_MIN_DAYS 10 密码修改之间最小的天数 PASS_WARN_AGE 7 口令失效前多少天开始通知用户修改密码 2 ）、口令复杂度 [root@wenzhiyi ~]# vim /etc/pam.d/system-auth,在文件中找到如下内容: password requisite pam_cracklib.so 将其修改为: password

本文旨在指导系统管理人员或安全检查人员进行 Linux 操作系统的安全合规性检查和加固。 1. 账号和口令 1.1 禁用或删除无用账号 减少系统无用账号，降低安全风险。 操作步骤 使用 命令 userdel <用户名> 删除不必要的账号。 使用 命令 passwd -l <用户名> 锁定不必要的账号。 使用命令 passwd -u <用户名> 解锁必要的账号。 1.2 检查特殊账号 检查是否存在空口令和root权限的账号。 操作步骤 1. 查看空口令和root权限账号，确认是否存在异常账号： 使用命令 awk -F: '($2=="")' /etc/shadow 查看空口令账号。 使用命令 awk -F: '($3==0)' /etc/passwd 查看UID为零的账号。 2.加固空口令账号： 使用命令 passwd <用户名> 为空口令账号设定密码。 确认UID为零的账号只有root账号。 1.3 添加口令策略 加强口令的复杂度等，降低被猜解的可能性。 操作步骤 1.使用命令 vi /etc/login.defs 修改配置文件。 PASS_MAX_DAYS 90 #新建用户的密码最长使用天数 PASS_MIN_DAYS 0 #新建用户的密码最短使用天数 PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数 2.使用chage命令修改用户设置。 例如，chage -m

多年以来，Gartner的研究数据与咨询服务被认为是客观技术思想领导的权威来源。作为全球IT市场预测与咨询的龙头，Gartner每年对外输出数十份市场研究报告，成为全球众多企业在市场分析、技术选择、项目论证、投资决策上的重要参考，所以Gartner每年预测的东西到底准不准？实现率有多少？ 基于多年对IT及前沿技术的关注和积累，腾讯安全联合腾讯TEG安全平台部天幕团队对Gartner 2016年-2020年的年度 战略技术趋势报告和安全项目报告 进行回顾与应用情况评估。 一、报告概述 报告回顾了 2016年-2020年Gartner的年度战略技术趋势报告和安全项目报告 ，这是具有代表性的两份报告。报告将按年份依次回顾每年的技术预测，并根据当前的应用情况评判是否准确，同时列出该技术领域的现有代表厂商。 主要回顾报告包括： Ÿ 《Gartner 年度十大战略技术趋势》（2016-2020） Ÿ 《Gartner 年度十大安全项目》（2016-2020） 二、主要发现 总体来看，除了2016年在十大信息安全技术上的预测有些偏差，其他年份报告的趋势预测准确率均在 90% 的水平，所以Gartner被誉为全球TOP 1的咨询公司当之无愧。 而根据近5年来预测和真实情况对比，以下技术和项目值得继续关注： 前沿技术： AI与机器学习技术、AR与VR技术、自主物件、智能空间技术、云计算与边缘计算、

点击上方蓝色“ 后端面试那些事儿 ”，选择“设为星标” 学最好的别人，做最好的我们 来源：cnblogs.com/beer/p/6029861.html 1 概述 2 使用场景 3 token的类别 4 token的层级关系 4.1 账号密码 4.2 客户端会话token 4.3 access_token 4.4 pam_token 4.5 map_token 5 小结与展望 1、概述 在存在账号体系的信息系统中，对身份的鉴定是非常重要的事情。 随着移动互联网时代到来，客户端的类型越来越多， 逐渐出现了 一个服务器，N 个客户端的格局 。 不同的客户端产生了不同的用户使用场景，这些场景： 有不同的环境安全威胁 不同的会话生存周期 不同的用户权限控制体系 不同级别的接口调用方式 综上所述，它们的身份认证方式也存在一定的区别。 本文将使用一定的篇幅对这些场景进行一些分析和梳理工作。 2、使用场景 下面是一些在 IT 服务常见的一些使用场景: 用户在 web 浏览器端登录系统, 使用系统服务 用户在手机端（Android/iOS）登录系统, 使用系统服务 用户使用开放接口登录系统, 调用系统服务 用户在 PC 处理登录状态时通过手机扫码授权手机登录（使用得比较少） 用户在手机处理登录状态进通过手机扫码授权 PC 进行登录（比较常见） 通过对场景的细分, 得到如下不同的认证 token

目录 一、账号安全基本措施 1、系统账号清理 2、密码安全控制 **新用户vim /etc/login.defs 设置密码有效期** **已有用户 chage -M 30 zhangsan** **下次登录强制改密码** 3、命令历史的限制 1）vi /etc/profile减少命令行数 2）export HISTSIZE=数值减少命令行数 3）登录时自动清空历史命令 4、终端自动注销 二、su命令 1）切换用户 2）限制使用su命令的用户 3）查看su操作记录 三、PAM安全认证 su命令的安全隐患 PAM可插拔式认证模块 PAM认证原理 PAM认证的构成 PAM安全认证流程 四、sudo 配置命令： 语法格式： 举例 lisi 可用 ifconfig 启动sudo操作日志 别名创建 五、开关机安全 1）调整BIOS引导设置 2、GRUB限制 六、终端登录 1、限制root用户 2、限制普通用户 一、账号安全基本措施 1、系统账号清理 将非登录用户的shell设为/sbin/nologin usermod - s / sbin / nologin 用户名 锁定长期不使用的账号 usermod - L 用户名 passwd - l 用户名 passwd - S 用户名 删除无用的账号 userdel 【 - r】用户名 锁定账号文件passwd、shadow chattr + i

4.查看OpenSSH版本信息 ssh -V 1.安装必要组件： yum install -y gcc openssl-devel pam-devel rpm-build 2.下载OpenSSH最新版本： https://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/ 在以上网站找到最新版链接并下载解压 wget https://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-7.5p1.tar.gz tar -zxvf openssh-7.5p1.tar.gz 3.到openssh-7.5p1目录下编译并安装最新版OpenSSH: ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-zlib --with-md5-passwords --with-tcp-wrappers 如果没报错则执行安装命令 make && make install 4.查看OpenSSH版本信息 ssh -V 5.修改配置 去掉此行#，如果想远程能够远程登录root用户 #PermitRootLogin yes 6.重启并处理异常 service sshd restart 如果出现以下异常 /etc/ssh/sshd

系统安全与应用 一、账号安全基本措施 1.1 系统账号清理 1.1.1 将非登录用户的Shell设为/sbin/nologin 1.1.2 锁定长期不使用的账号 1.1.3 删除无用的账号 1.1.4 锁定账号文件 passwd、shadow（/etc/passwd、/etc/shadow） 1.1.5 清空用户密码 1.2 密码安全控制 1.3 命令历史限制 1.4 终端自动注销 二、使用su命令切换用户 2.1 用途及用法 2.2密码验证 三、 Linux中的PAM安全认证 3.1 su命令的安全隐患 3.1.1 PAM（Pluggable Authentication Modules）可插拔式认证模块 3.2 PAM认证原理 3.2.1 一般遵循的顺序 3.3 PAM认证的构成 3.3.1 查看某个程序是否支持PAM认证，可以用 Is 命令 3.3.2 查看su的PAM配置文件 3.4 PAM安全认证流程 3.5 限制使用su命令的用户 3.5.1 将允许使用su命令的用户加入wheel组 3.5.2 控制标记的补充说明： 3.6 查看su操作记录 3.6.1 安全日志文件 : /var/log/secure 四、使用sudo机制提升权限 4.1 sudo命令的用途及用法 4.2 配置sudo授权(使用sudo机制提升) 4.2.1 使用格式 4.3 使用关键字User

1. 限制su命令切换到root用户 不希望所有用户都可以通过su命令切换身份， 启用pam_wheel认证模块 vim /etc/pam.d/su 取消注释以强制用户成为组根的成员 才能使用“su”。如果您想使用默认“root”以外的组，也可以在这行的末尾添加“group=foo”（但这可能会有拒绝“root”用户的副作用，除非她是“foo”的成员或前面明确允许的，例如“SU_WHEEL_ONLY"). （替换来自登录名.defs) 去掉这一行的# 这样执行su命令的用户都将受到限制，只有root组中的成员才有权限执行su命令。 如果想让某个组中的成员有su root的权限，可以像上图这样改，这样ubuntu组中的成员都有权限执行su命令。 当不属于root用户组、ubuntu用户组的成员使用su命令切换到root时会被拒绝，即使输入了正确的root密码。 2. 设置其他用户不能使用sudo passwd root修改root密码 root~# visudo 或者 vim /etc/sudoers 像上图这样给那么多ALL=(ALL:ALL) ALL权限是非常危险的行为 意味着这些用户都能轻松通过sudo passwd root修改root的密码 主机=(用户:用户组) 命令 ALL=(ALL:ALL) ALL 的意思就是被授权的用户，在所有的主机、获取所有用户|用户组的身份

文章目录 一、账号安全控制 1、系统账号清理 2、密码安全控制 3、命令历史限制 4、终端自动注销 二、使用su命令切换用户 1、限制用户使用su命令 三、linux中的PAM安全认证 四、PAM 认证原理： 五、使用sudo机制提权 1、配置sudo授权 2、语法格式 3、别名创建 六、开关机安全控制 1、GRUB限制 一、账号安全控制 1、系统账号清理 ●将非登陆用户的Shell设为/sbin/nologin或者/bin/falsh usermod -s /sbin/nologin 用户名 ●锁定长期不使用的账号 usermod -L 用户名 锁定用户账户 passwd -l 用户名 锁定用户密码 passwd -S 用户名 查看用户状态 ●删除无用的账号 userdel -r 用户名 删除用户及其宿主目录 ●清空一个账号密码 passwd -d 用户名 清空账户密码 ●锁定账号文件passwd、shadow chattr +i /etc/passwd /etc/shadow 锁定文件 lsattr /etc/passwd /etc/shadow 查看文件状态 chattr -i /etc/passwd /etc/shadow 解锁文件 得出结论，由于/etc/passwd和/etc/shadow都存放的用户账号信息，所以两个缺一不可，少一个都无法创建用户与更改密码 2