網路安全管理-使用者賬號

技術小美發表於2017-11-07
現在的linux在安全方面都已經很完善了,但是還存在一些安全隱患,這就需要我們在安全機制上的加強。


1、賬號和口令

主要是/etc/passwd和/etc/shadow兩個檔案,/etc/passwd主要是存放賬戶,/etc/shadow主要是存放使用者口令。
這兩個檔案非常的重要,是Linux的第一個關卡。使用者要登入系統,都必須經過這兩個檔案的驗證。

[root@Linux ~]# ls -l /etc/passwd

-rw-r–r– 1 root root 1479 Aug 26 16:44 /etc/passwd
[root@Linux ~]# ls -l /etc/shadow

-r——– 1 root root 967 Aug 26 16:44 /etc/shadow


這裡主要對使用者的口令作一些基礎的講解,主要是口令要主要一些方面:

1、複雜性

   一般不要將口令設定為自己的名字,生日號碼,一些容易被猜中的簡單的數字和英文單詞。一般字母,數字、符號相組合。但是不能設定的太複雜,要自己使用要方便。
2、口令長度

   一般來說設定8個字元以上的密碼才算是比較安全,但不一定要設定8個字元,只要有一定的複雜性,密碼一般都不會被別人破解
3、定期更改口令

   建議一般是一個月左右更改一個口令,可以更改以下檔案來達到目的
[root@Linux ~]# ls -l /etc/login.defs

-rw-r–r– 1 root root 1503 Jan  9  2008 /etc/login.defs
看看這個檔案的類容

[root@Linux ~]# cat  /etc/login.defs

# *REQUIRED*

#   Directory where mailboxes reside, _or_ name of file, relative to the

#   home directory.  If you _do_ define both, MAIL_DIR takes precedence.

#   QMAIL_DIR is for Qmail

#

#QMAIL_DIR      Maildir

MAIL_DIR        /var/spool/mail

#MAIL_FILE      .mail
# Password aging controls:

#

#       PASS_MAX_DAYS   Maximum number of days a password may be used.

#       PASS_MIN_DAYS   Minimum number of days allowed between password changes.

#       PASS_MIN_LEN    Minimum acceptable password length.

#       PASS_WARN_AGE   Number of days warning given before a password expires.

#

PASS_MAX_DAYS   99999

PASS_MIN_DAYS   0

PASS_MIN_LEN    5

PASS_WARN_AGE   7
#

# Min/max values for automatic uid selection in useradd

#

UID_MIN                   500

UID_MAX                 60000
#

# Min/max values for automatic gid selection in groupadd

#

GID_MIN                   500

GID_MAX                 60000
#

# If defined, this command is run when removing a user.

# It should remove any at/cron/print jobs etc. owned by

# the user to be removed (passed as the first argument).

#

#USERDEL_CMD    /usr/sbin/userdel_local
#

# If useradd should create home directories for users by default

# On RH systems, we do. This option is overridden with the -m flag on

# useradd command line.

#

CREATE_HOME     yes
# The permission mask is initialized to this value. If not specified,

# the permission mask will be initialized to 022.

UMASK           077
# This enables userdel to remove user groups if no members exist.

#

USERGROUPS_ENAB yes
# Use MD5 or DES to encrypt password? Red Hat use MD5 by default.

MD5_CRYPT_ENAB yes
 
PASS_MIN_LEN    5  口令的長度,一般可以設定口令長度為8,那麼就將5更改為8
其它的配置:
PASS_MAX_DAYS   99999  每一個密碼的最大使用天數,也就是重新需要更新密碼的天數,99999表示不需要重新更改密碼,為了安全,一般需要更改這個數字,如30,表示30天需要更改一次使用者密碼
PASS_MIN_DAYS   0  表示密碼不可以被更改的天數,0表示可以隨時的更改
PASS_WARN_AGE   7  在最大更改密碼期限的前幾天通知使用者更改密碼,7,表示提前一個星期來更改密碼。
其實這些設定都在/etc/shadow檔案中都一一對應。
root:$1$cZ6OuLeY$g1aS6If4GfMTd4xT7SwRx1:14115:0:99999:7:::
看看第4、5、6這三個欄位,都是和上面的一一對應的關係。也可以根據具體的情況來手工修改/etc/shadow檔案中特定使用者的資訊。

本文轉自redking51CTO部落格,原文連結:http://blog.51cto.com/redking/15658,如需轉載請自行聯絡原作者



相關文章