PAM | 账户安全 | 管理

2024-02-19 15:04
文章标签 安全 管理 账户 pam

本文主要是介绍PAM | 账户安全 | 管理,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

PAM

PAM(Pluggable Authentication Modules,可插入式身份验证模块)是一个灵活的身份验证系统,允许我们通过配置和组合各种模块来实现不同的身份验证策略。
在这里插入图片描述

在 Linux 或类 Unix 系统中,常见的 PAM 模块包括以下几种类型:

  1. 认证模块(Authentication Modules)

    • 用于验证用户的身份,通常基于密码、密钥、证书、生物特征等。常见的认证模块包括:
      • pam_unix:基于传统的用户名和密码进行认证。
      • pam_ldap:与 LDAP 目录服务器进行身份验证。
      • pam_ssh:基于 SSH 密钥进行身份验证。
      • pam_radius:通过 RADIUS 服务器进行身份验证。
      • pam_google_authenticator:实现双因素认证。
  2. 账户管理模块(Account Management Modules)

    • 用于管理用户账户的状态,包括锁定、过期、禁止登录等。常见的账户管理模块包括:
      • pam_unix:管理用户密码的过期、锁定等状态。
      • pam_access:基于访问控制列表 (ACL) 控制用户对系统资源的访问权限。
      • pam_time:根据时间限制用户的登录。
  3. 密码管理模块(Password Management Modules)

    • 用于管理用户密码的策略,包括密码长度、复杂度要求、历史密码检查等。常见的密码管理模块包括:
      • pam_pwquality:实现密码质量检查,如密码长度、字符类型等。
      • pam_cracklib:使用 CrackLib 库检查密码的复杂度。
      • pam_unix:提供基本的密码管理功能,如修改密码、历史密码检查等。
  4. 会话管理模块(Session Management Modules)

    • 用于管理用户会话的操作,如记录登录信息、设置环境变量等。常见的会话管理模块包括:
      • pam_limits:设置用户资源限制,如进程数、文件打开数等。
      • pam_env:设置用户会话的环境变量。
      • pam_lastlog:记录用户上次登录信息。
  5. 模块控制模块(Module Control Modules)

    • 用于控制 PAM 模块的行为和执行顺序。常见的模块控制模块包括:
      • pam_stack:允许管理员创建自定义的 PAM 堆栈。

以上只是一些常见的 PAM 模块,实际还有许多其他模块可用于不同的身份验证需求。

账号安全

Linux系统的账户安全是保护系统免受未授权访问和潜在威胁的关键方面。

  1. 使用强密码:

    • 强制使用包含字母、数字和特殊字符的复杂密码。
    • 使用密码策略工具如 pam_pwquality 来限制密码的长度、字典单词等。
  2. 限制Root用户:

    • 避免直接使用root账户登录,而是使用普通用户再切换到root
    • 禁用直接root远程登录。
    • 配置 sudo 权限,只允许授权用户执行必要的管理员任务。
  3. 用户账户管理:

    • 禁用不必要的用户账户。
    • 定期审查用户账户,禁用不再需要的账户。
    • 设置用户账户过期时间,定期强制用户更改密码。
  4. SSH 安全配置:

    • 禁用不安全的SSH协议版本,仅使用SSHv2。
    • 配置SSH服务,限制允许登录的用户。
    • 使用SSH密钥身份验证,禁用密码身份验证(如果可能)。
  5. PAM (Pluggable Authentication Modules) 配置:

    • 使用PAM来实现更强大的身份验证和授权。
    • 配置PAM以限制登录尝试次数并锁定账户。
    • 强制使用pam_tallypam_faillock等模块来检测和阻止恶意登录尝试。
  6. 系统账户:

    • 禁用不必要的系统账户。
    • 将系统账户的登录Shell设置为 /sbin/nologin/bin/false
  7. Auditd 配置:

    • 启用审计功能以监视系统活动。
    • 配置 auditd 以记录关键系统事件,如登录、权限变更等。
  8. SELinux (Security-Enhanced Linux):

    • 启用SELinux以提供强制访问控制和更强大的安全策略。
    • 配置SELinux策略以适应您的应用程序和服务。
  9. 限制 su 和 sudo 权限:

    • 限制 su 命令的使用,仅允许授权用户切换到其他用户。
    • 配置 sudo 以限制哪些用户可以执行哪些命令,避免不必要的特权。
  10. 定期审计和监控:

    • 定期审计系统日志以检测异常活动。
    • 使用监控工具(如tripwire)来检测系统文件的变化。
  11. 禁用不必要的服务:

    • 禁用系统上不必要的网络服务和端口。
    • 定期审查和关闭未使用的服务。
  12. 更新和补丁管理:

    • 定期更新系统和软件包,确保安装最新的安全补丁。
    • 使用自动化工具(如unattended-upgrades)来自动安装安全更新。

措施

限制账号安全的配置涉及很多步骤,包括密码策略、访问控制、身份验证、日志和监控等。

  1. 强化密码策略:

    • 修改 /etc/security/pwquality.conf/etc/security/pwquality.conf 文件来配置密码质量要求。
    • 使用 pam_pwquality 模块来限制密码长度、包含字符类型和禁用字典单词。
  2. 限制账号登录:

    • 编辑 /etc/security/access.conf 文件,使用 pam_access 模块限制用户登录。
    • /etc/ssh/sshd_config 中配置 AllowUsersDenyUsers 以限制SSH登录。
  3. 账号锁定和登录尝试限制:

    • 使用 pam_tally2pam_faillock 模块配置账户锁定。
    • /etc/security/faillock.conf 中配置账户锁定的参数,如尝试次数和锁定时长。
    • 配置 /etc/pam.d/system-auth 文件以添加 auth required pam_tally2.so 行。
  4. 限制 su 和 sudo 权限:

    • 修改 /etc/pam.d/su 文件,限制哪些用户可以使用 su 命令。
    • 编辑 /etc/sudoers 文件,使用 sudo 命令配置特权用户和命令。
  5. 启用 SELinux:

    • 启用 SELinux 并配置强制访问控制。
    • 使用 semanagesetsebool 命令配置 SELinux 策略。
  6. 审计和监控:

    • 启用 auditd 审计框架。
    • /etc/audit/auditd.conf 中配置审计参数。
    • 编辑 /etc/pam.d/system-auth,添加 `session required pam_tty_audit.so enable=*" 行,启用终端审计。
  7. 定期审查用户账户:

    • 定期检查并禁用不再需要的用户账户。
    • 使用 usermod 命令修改账户属性,如锁定或设置过期日期。
  8. 启用登录二因素身份验证:

    • 配置 pam_google_authenticator 或其他二因素身份验证方法。
    • /etc/pam.d/sshd 中添加 auth required pam_google_authenticator.so 行。
  9. 限制 shell 访问:

    • /etc/passwd 中设置不常用账户的 Shell 为 /sbin/nologin/bin/false
    • 编辑 /etc/shells 文件,移除不需要的 shell。
  10. 定期修改密码:

    • /etc/login.defs 中设置密码最大寿命(PASS_MAX_DAYS)和密码最小寿命(PASS_MIN_DAYS)。
    • 使用 chage 命令设置密码策略,如 chage -M 90 -m 7 -W 7 username
  11. 使用账号管理工具:

    • 使用账号管理工具(如 useraddusermoduserdel)进行账户管理,以确保正确的权限和配置。
  12. 定期审查日志:

    • 定期审查系统和应用程序日志,查找异常活动和潜在的安全问题。
    • 使用工具(如 logwatch)自动化日志审查过程。

Ending


~喜欢的话,请收藏 | 关注(✪ω✪)~
~万一有趣的事还在后头呢,Fight!!(o^-^)~''☆ミ☆ミ~……

这篇关于PAM | 账户安全 | 管理的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/725038

相关文章

综合安防管理平台LntonAIServer视频监控汇聚抖动检测算法优势

LntonAIServer视频质量诊断功能中的抖动检测是一个专门针对视频稳定性进行分析的功能。抖动通常是指视频帧之间的不必要运动,这种运动可能是由于摄像机的移动、传输中的错误或编解码问题导致的。抖动检测对于确保视频内容的平滑性和观看体验至关重要。 优势 1. 提高图像质量 - 清晰度提升:减少抖动,提高图像的清晰度和细节表现力,使得监控画面更加真实可信。 - 细节增强:在低光条件下,抖

客户案例:安全海外中继助力知名家电企业化解海外通邮困境

1、客户背景 广东格兰仕集团有限公司(以下简称“格兰仕”),成立于1978年,是中国家电行业的领军企业之一。作为全球最大的微波炉生产基地,格兰仕拥有多项国际领先的家电制造技术,连续多年位列中国家电出口前列。格兰仕不仅注重业务的全球拓展,更重视业务流程的高效与顺畅,以确保在国际舞台上的竞争力。 2、需求痛点 随着格兰仕全球化战略的深入实施,其海外业务快速增长,电子邮件成为了关键的沟通工具。

软考系统规划与管理师考试证书含金量高吗?

2024年软考系统规划与管理师考试报名时间节点: 报名时间:2024年上半年软考将于3月中旬陆续开始报名 考试时间:上半年5月25日到28日,下半年11月9日到12日 分数线:所有科目成绩均须达到45分以上(包括45分)方可通过考试 成绩查询:可在“中国计算机技术职业资格网”上查询软考成绩 出成绩时间:预计在11月左右 证书领取时间:一般在考试成绩公布后3~4个月,各地领取时间有所不同

安全管理体系化的智慧油站开源了。

AI视频监控平台简介 AI视频监控平台是一款功能强大且简单易用的实时算法视频监控系统。它的愿景是最底层打通各大芯片厂商相互间的壁垒,省去繁琐重复的适配流程,实现芯片、算法、应用的全流程组合,从而大大减少企业级应用约95%的开发成本。用户只需在界面上进行简单的操作,就可以实现全视频的接入及布控。摄像头管理模块用于多种终端设备、智能设备的接入及管理。平台支持包括摄像头等终端感知设备接入,为整个平台提

2024网安周今日开幕,亚信安全亮相30城

2024年国家网络安全宣传周今天在广州拉开帷幕。今年网安周继续以“网络安全为人民,网络安全靠人民”为主题。2024年国家网络安全宣传周涵盖了1场开幕式、1场高峰论坛、5个重要活动、15场分论坛/座谈会/闭门会、6个主题日活动和网络安全“六进”活动。亚信安全出席2024年国家网络安全宣传周开幕式和主论坛,并将通过线下宣讲、创意科普、成果展示等多种形式,让广大民众看得懂、记得住安全知识,同时还

从状态管理到性能优化:全面解析 Android Compose

文章目录 引言一、Android Compose基本概念1.1 什么是Android Compose?1.2 Compose的优势1.3 如何在项目中使用Compose 二、Compose中的状态管理2.1 状态管理的重要性2.2 Compose中的状态和数据流2.3 使用State和MutableState处理状态2.4 通过ViewModel进行状态管理 三、Compose中的列表和滚动

easyui同时验证账户格式和ajax是否存在

accountName: {validator: function (value, param) {if (!/^[a-zA-Z][a-zA-Z0-9_]{3,15}$/i.test(value)) {$.fn.validatebox.defaults.rules.accountName.message = '账户名称不合法(字母开头,允许4-16字节,允许字母数字下划线)';return fal

【Kubernetes】K8s 的安全框架和用户认证

K8s 的安全框架和用户认证 1.Kubernetes 的安全框架1.1 认证:Authentication1.2 鉴权:Authorization1.3 准入控制:Admission Control 2.Kubernetes 的用户认证2.1 Kubernetes 的用户认证方式2.2 配置 Kubernetes 集群使用密码认证 Kubernetes 作为一个分布式的虚拟

Sentinel 高可用流量管理框架

Sentinel 是面向分布式服务架构的高可用流量防护组件,主要以流量为切入点,从限流、流量整形、熔断降级、系统负载保护、热点防护等多个维度来帮助开发者保障微服务的稳定性。 Sentinel 具有以下特性: 丰富的应用场景:Sentinel 承接了阿里巴巴近 10 年的双十一大促流量的核心场景,例如秒杀(即突发流量控制在系统容量可以承受的范围)、消息削峰填谷、集群流量控制、实时熔断下游不可用应

NGINX轻松管理10万长连接 --- 基于2GB内存的CentOS 6.5 x86-64

转自:http://blog.chinaunix.net/xmlrpc.php?r=blog/article&uid=190176&id=4234854 一 前言 当管理大量连接时,特别是只有少量活跃连接,NGINX有比较好的CPU和RAM利用率,如今是多终端保持在线的时代,更能让NGINX发挥这个优点。本文做一个简单测试,NGINX在一个普通PC虚拟机上维护100k的HTTP