Linux 시스템 보안 및 응용 - 계 정 보안 제어 (9)

리 눅 스 의 시스템 안전 과 응용 저 는 세 부분 으로 나 누 어 이론 과 실천 을 결합 시 킬 것 입 니 다. 이 글 은 먼저 여러분 에 게 계 정 안전 통 제 를 알 리 겠 습 니 다!!
(1) 기본 안전 조치
사용자 계 정 은 컴퓨터 사용자 의 신분증 이나 표지 로 시스템 자원 을 방문 하려 는 모든 사람 은 반드시 사용자 계 정 을 통 해 컴퓨터 에 들 어 갈 수 있다.리 눅 스 시스템 에 서 는 사용자 계 정의 정당 하고 안전 한 사용 을 확보 하기 위해 다양한 메커니즘 을 제공 했다.
1, 시스템 계 정 정리

로그 인 하지 않 은 사용자 의 셸 을/sbin/nologin (vim/etc/passwd)

으로 설정 합 니 다.

장기 적 으로 사용 하지 않 는 계 정 잠 금 (passwd 또는 usermod)

쓸모없는 계 정 삭제 (userdel)

계 정 파일 잠 금 passwd, shadow

파일 잠 금 및 상태 보기 - chattr, lsattr

[root@localhost ~]# lsattr /etc/passwd /etc/shadow      
---------------- /etc/passwd
---------------- /etc/shadow
[root@localhost ~]# chattr +i /etc/passwd /etc/shadow        
[root@localhost ~]# lsattr /etc/passwd /etc/shadow         i    
----i----------- /etc/passwd
----i----------- /etc/shadow
[root@localhost ~]# useradd zhangsan             
useradd：     /etc/passwd
[root@localhost ~]# tail -3 /etc/passwd     passwd          
postfix:x:89:89::/var/spool/postfix:/sbin/nologin
tcpdump:x:72:72::/:/sbin/nologin
test1:x:1000:1000:test1:/home/test1:/bin/bash
[root@localhost ~]# chattr -i /etc/passwd /etc/shadow         

2, 암호 보안 제어

비밀번호 유효기간 설정

다음 로그 인 시 비밀번호 수정 요청

새 사용자 에 게 적용 할 비밀번호 유효기간 설정
프로필 편집/etc/log. defs

[root@localhost ~]# vim /etc/login.defs          

암호 설정 유효기간 - 기 존 사용자 에 게 적용

[root@localhost ~]# chage -M 30 zhangsan              

사용자 에 게 다음 로그 인 시 비밀 번 호 를 수정 하 라 고 요구 합 니 다 (먼저 passwd 로 이사 에 게 비밀 번 호 를 설정 합 니 다)

[root@localhost ~]# chage -d 0 lisi                   

로그 인 하려 면 새로운 비밀 번 호 를 설정 해 야 합 니 다. 현재 설정 한 비밀 번 호 를 입력 하 십시오.
비밀 번 호 는 너무 간단 해 서 는 안 되 고 연속 적 인 자모 와 숫자 에 부합 해 야 합 니 다. 유효한 비밀 번 호 는 다음 과 같 습 니 다: qwer 1995
3, 명령 기록 제한

기 록 된 명령 개수 감소

로그아웃 시 명령 기록 자동 삭제

시스템 명령 기록 제한 설정 (전역/etc/profile)

[root@localhost ~]# vim /etc/profile               

로그아웃 시 명령 기록 자동 삭제 - 사용자 의 개인 프로필 설정 ~/. bashlogout
터미널 자동 로그아웃 - 600 초 제한 자동 로그아웃

[root@localhost ~]# vim /etc/profile               

(2) 사용자 전환 및 권한 부여, PAM 인증
su 명령 으로 사용자 전환
용도 및 방법

용도: 사용자 전환

형식: su - 대상 사용자

암호 인증

root > 임의의 사용자, 비밀 번 호 를 검증 하지 않 음

일반 사용자 > 기타 사용자, 대상 사용자 의 비밀번호 검증

su 명령 을 사용 하 는 사용 자 를 제한 합 니 다.

su 명령 을 사용 하 는 사용 자 를 wheel 그룹 (보안 그룹)

에 가입 할 수 있 습 니 다.

pam 사용 하기wheel 인증 모듈

vim /etc/pam.d/su   pam_wheel           

이 때 zhangsna 로 관리자 계 정 을 바 꾸 면 권한 이 부족 해서 바 꿀 수 없습니다.
루트 사용자 로 zhangsan 사용 자 를 wheel 그룹 에 추가 하면 관리 자 를 전환 할 수 있 습 니 다.
su 조작 기록 보기

보안 로그 파일:/var/log/secure

su 명령 의 안전 위험

기본 적 인 상황 에서 모든 사용자 가 su 명령 을 사용 할 수 있 고 다른 사용자 의 로그 인 비밀 번 호 를 반복 적 으로 시도 하여 안전 위험 을 가 져 올 수 있 습 니 다

su 의 사용 통 제 를 강화 하기 위해 PAM 인증 모듈 을 이용 하여 극 개별 사용자 만 su 명령 으로 전환 할 수 있 습 니 다

PAM 플러그 인 인증 모듈 은 효율 적 이 고 유연 하 며 편리 한 사용자 등급 의 인증 방식 으로 현재 Linux 서버 에서 보편적으로 사용 하 는 인증 방식 이다.

pam 인증 은 일반적으로 지 키 는 순서: service > pam (프로필) > pam *. so

pam 인증 은 먼저 어떤 서 비 스 를 확인 한 다음 에 해당 하 는 pam 프로필 (/etc/pam. d) 을 불 러 오고 마지막 으로 인증 파일 (/lib/security) 을 호출 하여 안전 인증

을 해 야 합 니 다.

사용자 가 서버 에 접근 할 때 서버 의 한 서비스 프로그램 은 사용자 의 요청 을 pam 모듈 로 보 내 인증

통 하지 않 는 응용 프로그램 에 대응 하 는 pam 모듈 도 다르다

특정한 프로그램 이 pam 인증 을 지원 하 는 지 확인 하고 ls 명령 으로 볼 수 있 습 니 다. 예 를 들 어 su 가 pam 모듈 인증 (ls/etc/pam. d | grep su)

을 지원 하 는 지 확인 할 수 있 습 니 다.

su 의 pam 프로필 보기: cat/etc/pam. d/su

모든 줄 은 하나의 독립 된 인증 과정

이다.

각 줄 은 세 개의 필드 (인증 유형, 제어 유형, pam 모듈 과 그 매개 변수)

로 나 눌 수 있다.
PAM 안전 인증 절차
sudo 메커니즘 사용 권한 향상
sudo 의 용도 및 용법

용도: 다른 사용자 신분 (예 를 들 어 루트) 으로 권한 을 수 여 받 은 명령

을 수행 합 니 다.

용법: sudo 권한 수여 명령

sudo 인증 설정

visudo 또는 vim/etc/sudoers

기록 형식: 사용자 호스트 이름 목록 + 명령 프로그램 목록

Google 이 인증 을 설정 하지 않 았 을 때 sudo 를 사용 하여 네트워크 카드 ip 정 보 를 수정 합 니 다.
sudo 인증 을 설정 합 니 다.

[root@localhost ~]# visudo        

이때 우 리 는 sudo 를 사용 하여 네트워크 카드 의 ip 주 소 를 수정 할 수 있다.
sudo 작업 기록 보기

Defaults logfile 설정 을 사용 해 야 합 니 다

기본 로그 파일:/var/log/sudo

visudo 로 그 를 추가 하여 설정 을 사용 합 니 다.
sudo 작업 과정의 로그 파일 보기
뒤의 두 부분 은 다음 문장 에 나타난다.
읽 어 주 셔 서 감사합니다!!