当前位置: 首页 > article >正文

linux-安全管理-用户认证

Linux 安全管理:用户认证

一、概述

用户认证是 Linux 安全管理的核心部分,确保系统能够识别并验证合法用户,同时阻止未经授权的访问。Linux 提供了多种用户认证机制,包括用户名和密码认证、基于密钥的认证、双因素认证(2FA)等。此外,系统管理员还可以通过配置文件和策略管理用户权限,增强系统的安全性。


二、Linux 用户与组管理

在 Linux 中,用户和组是权限管理的基本单位。每个文件和进程都属于某个用户和组,并拥有特定的访问权限。系统通过 /etc/passwd/etc/group 文件记录用户和组的信息。

1. 用户管理

1.1 新建用户

使用 useradd 命令可以创建新用户:

useradd username
  • -m:为用户创建 home 目录。
  • -s:指定登录 shell。
  • -G:将用户添加到指定的组。

例如,创建一个名为 john 的用户,并指定其 home 目录和 shell:

useradd -m -s /bin/bash john
1.2 设置用户密码

新建用户后,需要为用户设置密码。可以使用 passwd 命令:

passwd username

例如,设置 john 用户的密码:

passwd john
1.3 删除用户

使用 userdel 命令可以删除用户:

userdel username
  • -r:删除用户的 home 目录和邮件目录。

例如,删除 john 用户及其 home 目录:

userdel -r john
1.4 修改用户信息

使用 usermod 命令可以修改用户的属性,如组信息、登录 shell、home 目录等:

usermod -s /bin/zsh username

上述命令将用户的登录 shell 改为 zsh

2. 组管理

组是 Linux 中权限管理的重要机制。一个用户可以属于多个组,文件权限可以基于用户组进行细粒度的控制。

2.1 新建组

使用 groupadd 命令创建新组:

groupadd groupname

例如,创建一个名为 developers 的组:

groupadd developers
2.2 将用户添加到组

使用 usermod 命令可以将用户添加到某个组:

usermod -aG groupname username
  • -aG:追加用户到多个组。

例如,将用户 john 添加到 developers 组:

usermod -aG developers john
2.3 删除组

使用 groupdel 命令删除组:

groupdel groupname

例如,删除 developers 组:

groupdel developers

三、用户认证机制

Linux 提供了多种用户认证机制,包括基于密码的认证、基于密钥的认证、PAM(可插入认证模块)认证等。系统管理员可以根据不同的安全需求选择合适的认证机制。

1. 基于密码的认证

最常见的认证方式是用户名和密码组合。用户在登录时输入用户名和密码,系统通过检查 /etc/shadow 文件中的加密密码来验证用户身份。

1.1 /etc/passwd 文件

/etc/passwd 文件包含了系统中所有用户的基本信息,包括用户名、用户 ID、组 ID、home 目录、shell 等。

文件示例:

root:x:0:0:root:/root:/bin/bash
john:x:1001:1001:John Doe:/home/john:/bin/bash
1.2 /etc/shadow 文件

/etc/shadow 文件存储用户密码的加密形式,以及密码过期信息等安全策略。该文件只有 root 用户可以读取。

文件示例:

root:$6$randomsalt$hashedpassword:18765:0:99999:7:::
john:$6$anothersalt$anotherhashedpassword:18765:0:99999:7:::

在该文件中,密码通过哈希算法(如 SHA-512)进行加密,增强了安全性。

2. SSH 密钥认证

SSH 密钥认证 提供了一种比传统密码更安全的认证方式,尤其适用于远程服务器登录。SSH 密钥是一对加密的密钥,分别为公钥和私钥。

2.1 生成 SSH 密钥对

使用 ssh-keygen 命令可以生成 SSH 密钥对:

ssh-keygen -t rsa -b 4096
  • -t:指定加密算法(如 rsadsaecdsa 等)。
  • -b:指定密钥长度,推荐使用 4096 位。

生成的密钥对包括:

  • 公钥:用于上传到服务器,存储在 ~/.ssh/id_rsa.pub
  • 私钥:保存在本地,存储在 ~/.ssh/id_rsa
2.2 配置 SSH 密钥认证

将公钥上传到远程服务器的 ~/.ssh/authorized_keys 文件中:

cat ~/.ssh/id_rsa.pub | ssh user@server "mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys"

这样,用户下次登录该服务器时,无需输入密码,只需通过私钥认证即可登录。

2.3 禁用密码登录

为了提高安全性,可以在 SSH 配置文件 /etc/ssh/sshd_config 中禁用密码登录:

PasswordAuthentication no

重启 SSH 服务使更改生效:

systemctl restart sshd

3. PAM(Pluggable Authentication Modules)

PAM 是 Linux 的可插入认证模块,它为认证过程提供了统一的框架。系统管理员可以通过 PAM 配置文件定义多种认证方式,如密码认证、双因素认证(2FA)、账户锁定等。

3.1 PAM 配置文件

PAM 配置文件位于 /etc/pam.d/ 目录下,每个服务(如 SSH、登录、sudo)都有独立的配置文件。例如,SSH 服务的 PAM 配置文件是 /etc/pam.d/sshd

PAM 配置文件的基本格式如下:

type control module-path module-arguments

其中,type 定义了 PAM 模块的类型,常见类型包括:

  • auth:认证模块,用于验证用户身份。
  • account:账户模块,检查用户的账户状态(如是否过期)。
  • password:密码模块,用于管理用户密码。
  • session:会话模块,用于设置或终止用户会话。
3.2 密码策略配置

可以通过 PAM 设定密码强度要求,如最小长度、复杂度等。例如,在 /etc/pam.d/common-password 文件中使用 pam_pwquality.so 模块:

password requisite pam_pwquality.so retry=3 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1

这将要求密码至少包含一个大写字母、小写字母和数字,最小长度为 8。


4. 双因素认证(2FA)

双因素认证是一种增强型安全机制,它要求用户在输入密码后,还需提供另一种身份验证因素(如手机验证码)。在 Linux 系统中,可以通过 PAM 模块结合 Google Authenticator 实现双因素认证。

4.1 安装 Google Authenticator

首先,安装 Google Authenticator PAM 模块:

yum install google-authenticator
4.2 配置 Google Authenticator

为用户设置 Google Authenticator:

google-authenticator

根据提示生成二维码,用户可以使用 Google Authenticator 应用扫描该二维码并获取动态验证码。

4.3 配置 PAM 使用 2FA

/etc/pam.d/sshd 中添加以下行,启用 PAM 2FA:

auth required pam_google_authenticator.so

同时,在 /etc/ssh/sshd_config 中启用以下配置:

ChallengeResponseAuthentication yes

重启 SSH 服务后,用户在登录时将需要输入密码和动态验证码。


四、用户权限管理与审计

除了用户认证外,权限管理和审计也是安全管理的重要组成部分。通过合理配置权限和日志审计,管理员可以确保系统的访问控制和行为追踪。

1. sudo 权限管理

sudo 命令允许普通用户以管理员身份执行命令,但不需要直接使用 root 账户。sudo 的权限配置文件是 /etc/sudoers

编辑 `sudoers

文件时,使用visudo` 工具:

visudo

示例:允许用户 john 以 root 权限运行所有命令:

john ALL=(ALL) ALL

2. 审计日志

Linux 系统提供了多种日志审计工具,如 auditdsyslog 等,用于记录系统活动,帮助管理员监控潜在的安全问题。

auditd 是 Linux 的审计守护进程,记录所有关键事件。安装 auditd

yum install audit

启动 auditd 服务:

systemctl start auditd
systemctl enable auditd

审计规则可以通过 /etc/audit/audit.rules 文件配置。例如,监控对 /etc/passwd 文件的修改:

-w /etc/passwd -p wa -k passwd_changes

查看审计日志:

ausearch -k passwd_changes

五、总结

用户认证是 Linux 安全管理的核心,通过用户名/密码、SSH 密钥、PAM 和双因素认证等机制,管理员可以确保系统的安全访问。同时,合理的用户和权限管理,以及日志审计等措施,能够有效提升系统的安全性。

为保证 Linux 系统的安全,管理员应采取以下措施:

  1. 确保密码策略的强度和安全性。
  2. 使用 SSH 密钥认证代替密码认证。
  3. 启用双因素认证以增强用户身份验证。
  4. 定期审计系统日志,及时发现潜在的安全风险。

http://www.kler.cn/a/308957.html

相关文章:

  • STM32问题集
  • 第一个 Flutter 项目(1)共46节
  • Android Studio 将项目打包成apk文件
  • Microsoft 365 Exchange如何设置可信发件IP白名单
  • 【stable diffusion部署】超强AI绘画Stable Diffusion,本地部署使用教程,完全免费使用
  • Web大学生网页作业成品——婚礼婚纱网页设计与实现(HTML+CSS)(6个页面)
  • leetcode 345.翻转字符串中的元音字母
  • 浅谈住房城乡建设部科技创新平台布局重点方向
  • 代码随想录Day 48|单调栈,leetcode题目:739. 每日温度、496.下一个更大元素 I、503.下一个更大元素II
  • Reactive 编程-Vert.x
  • 云原生(Cloud Native)简介及相关技术
  • 3分钟了解 跨网文件安全交换的最佳方案是什么
  • nano在shell编程中的作用
  • LLM Prompt
  • wordpress源码资源站整站打包32GB数据,含6.7W条资源数据
  • Python元组详解
  • Linux:RPM软件包管理以及yum软件包仓库
  • 工业园生活污水处理设备产地货源
  • 提问即创作:用Prompt提示词引领AI灵感爆发
  • 云原生(Cloud Native)
  • PHP安全
  • JSON 数据 Excel 行转列
  • Gradio导入AIGC大模型创建web端智能体聊天机器人,python(2)
  • Matlab simulink建模与仿真 第十三章(信号通路库)
  • TinyML-On-The-Fly: 实时、低功耗、低成本的微控制器嵌入式设备内计算机视觉技术用于无人机图像分类
  • AtCoder ABC370 A-D题解