網路安全管理-使用者賬號

現在的linux在安全方面都已經很完善了，但是還存在一些安全隱患，這就需要我們在安全機制上的加強。

1、賬號和口令

主要是/etc/passwd和/etc/shadow兩個檔案，/etc/passwd主要是存放賬戶，/etc/shadow主要是存放使用者口令。

這兩個檔案非常的重要，是Linux的第一個關卡。使用者要登入系統，都必須經過這兩個檔案的驗證。

[root@Linux ~]# ls -l /etc/passwd

-rw-r–r– 1 root root 1479 Aug 26 16:44 /etc/passwd

[root@Linux ~]# ls -l /etc/shadow

-r——– 1 root root 967 Aug 26 16:44 /etc/shadow

這裡主要對使用者的口令作一些基礎的講解，主要是口令要主要一些方面：

1、複雜性

   一般不要將口令設定為自己的名字，生日號碼，一些容易被猜中的簡單的數字和英文單詞。一般字母，數字、符號相組合。但是不能設定的太複雜，要自己使用要方便。

2、口令長度

   一般來說設定8個字元以上的密碼才算是比較安全，但不一定要設定8個字元，只要有一定的複雜性，密碼一般都不會被別人破解

3、定期更改口令

   建議一般是一個月左右更改一個口令，可以更改以下檔案來達到目的

[root@Linux ~]# ls -l /etc/login.defs

-rw-r–r– 1 root root 1503 Jan  9  2008 /etc/login.defs

看看這個檔案的類容

[root@Linux ~]# cat  /etc/login.defs

# *REQUIRED*

#   Directory where mailboxes reside, _or_ name of file, relative to the

#   home directory.  If you _do_ define both, MAIL_DIR takes precedence.

#   QMAIL_DIR is for Qmail

#

#QMAIL_DIR      Maildir

MAIL_DIR        /var/spool/mail

#MAIL_FILE      .mail

# Password aging controls:

#

#       PASS_MAX_DAYS   Maximum number of days a password may be used.

#       PASS_MIN_DAYS   Minimum number of days allowed between password changes.

#       PASS_MIN_LEN    Minimum acceptable password length.

#       PASS_WARN_AGE   Number of days warning given before a password expires.

#

PASS_MAX_DAYS   99999

PASS_MIN_DAYS   0

PASS_MIN_LEN    5

PASS_WARN_AGE   7

#

# Min/max values for automatic uid selection in useradd

#

UID_MIN                   500

UID_MAX                 60000

#

# Min/max values for automatic gid selection in groupadd

#

GID_MIN                   500

GID_MAX                 60000

#

# If defined, this command is run when removing a user.

# It should remove any at/cron/print jobs etc. owned by

# the user to be removed (passed as the first argument).

#

#USERDEL_CMD    /usr/sbin/userdel_local

#

# If useradd should create home directories for users by default

# On RH systems, we do. This option is overridden with the -m flag on

# useradd command line.

#

CREATE_HOME     yes

# The permission mask is initialized to this value. If not specified,

# the permission mask will be initialized to 022.

UMASK           077

# This enables userdel to remove user groups if no members exist.

#

USERGROUPS_ENAB yes

# Use MD5 or DES to encrypt password? Red Hat use MD5 by default.

MD5_CRYPT_ENAB yes

 

PASS_MIN_LEN    5  口令的長度，一般可以設定口令長度為8，那麼就將5更改為8

其它的配置：

PASS_MAX_DAYS   99999  每一個密碼的最大使用天數，也就是重新需要更新密碼的天數，99999表示不需要重新更改密碼，為了安全，一般需要更改這個數字，如30，表示30天需要更改一次使用者密碼

PASS_MIN_DAYS   0  表示密碼不可以被更改的天數，0表示可以隨時的更改

PASS_WARN_AGE   7  在最大更改密碼期限的前幾天通知使用者更改密碼，7，表示提前一個星期來更改密碼。

其實這些設定都在/etc/shadow檔案中都一一對應。

root:$1$cZ6OuLeY$g1aS6If4GfMTd4xT7SwRx1:14115:0:99999:7:::

看看第4、5、6這三個欄位，都是和上面的一一對應的關係。也可以根據具體的情況來手工修改/etc/shadow檔案中特定使用者的資訊。