Linux操作系统安全配置 课件 项目3　账户与登录安全配置

单击此处编辑母版标题样式

用户密码设置学习内容passwd命令0102/etc/passwd文件03/etc/shadow文件

passwd命令1普通用户和超级权限用户都可以运行passwd命令。普通用户只能更改自己的用户密码。root用户可以修改任何用户的密码。提示如何修改用户的密码？锁定某个用户test01不能修改密码。

passwd命令1

/etc/passwd文件2由若干个字段组成，字段之间用“:”隔开。每行的格式如下：用户名：密码：uid

：gid：用户描述：主目录：登陆shell提示root:x:0:0:Superuser:/:daemon:x:1:1:Systemdaemons:/etc:bin:x:2:2:Ownerofsystemcommands:/bin:2用户名：每个用户的标识字符串密码：这里的x表示是暗文显示。uid：0为root保留ID。1-99为系统保留ID,分配给系统预定义帐号。123

/etc/passwd文件22gid:记录的是用户所属的用户组。用户描述：记录着用户的一些个人情况。主目录：用户的起始工作目录，它是用户在登录到系统之后所处的目录。456

/etc/passwd文件2登录shell:默认情况下这个字段的值为/bin/bash。7

/etc/shadow文件3由若干个字段组成，字段之间用“:”隔开。每行的格式如下：登录名:加密口令:最后一次修改时间:最小时间间隔:最大时间间隔:警告时间:不活动时间:失效时间:保留提示root:$6$AZ50BXgr4L.q3q2w$s1EdJ03CJSgfU9kCZP91LNlp/bvDVT8WVRgdJk1OpWzxrfy70QHl6jpgJMaA3Slv9UcB922L0hgH2DrDn.8ee.:16779:0:99999:7:::daemon:*:16141:0:99999:7:::bin:*:16141:0:99999:7:::2

/etc/shadow文件3登录名：与/etc/passwd文件中的登录名一致的用户账号口令：存放的是加密后的用户口令最后一次修改时间：表示的是从某个时刻起，到用户最后一次修改口令时的天数。123最小时间间隔：指的是两次修改口令之间所需的最小天数。42最大时间间隔：指的是口令保持有效的最大天数。警告时间：表示的是从系统开始警告用户到用户密码正式失效之间的天数。56

/etc/shadow文件3不活动时间：表示的是用户没有登录活动但账号仍能保持有效的最大天数。7失效时间：给出的是一个绝对的天数。8单击此处编辑母版标题样式

锁定账户管理学习内容锁定账户0102锁定口令出错N次的账户03总结锁定账户11.通过修改/etc/passwd文件中用户登录的shell通过修改/etc/passwd文件中用户登录的shell类型为/sbin/nologin，可以对用户账户进行锁定和解锁。创建文件/etc/nologin.txt，在改文件中输入系统管理员想给被锁用户的提示，该提示会在被锁账户登录时显示。创建/etc/nologin.txt文件，并在文件中输入提示信息锁定账户11.通过修改/etc/passwd文件中用户登录的shell查看test2用户的shell类型，修改该shell类型为/sbin/nologin,然后查看修改结果如图所示，该用户的shell类型修改为/sbin/nologin即完成了用户账户锁定。测试该账户。解除账户锁定只需要将shell类型改为/bin/bash即可。锁定账户12.使用passwd命令锁定个别用户登录使用命令passwd可以对用户账户进行锁定和解锁，如下图所示。passwd-l用户名#锁定账户passwd-u用户名

#解锁账户

锁定账户13.通过修改用户配置文件/etc/shadow锁定账户通过修改用户配置文件/etc/shadow，将第二栏设置为“*”锁定账户，使用这种方式会导致该用户的密码丢失，要再次使用时，需重设密码。一般不推荐这种方式。锁定过程如下图所示。锁定账户14.通过修改/etc/passwd文件中用户登录的shell使用命令usermod命令可以对用户账户进行锁定和解锁，如图5所示。usermod–L用户名

#锁定帐号usermod-U用户名

#解锁帐号锁定口令出错N次的账户21.PAM简介PAM（PluggableAuthenticationModules）是由Sun提出的一种认证机制。它通过提供一些动态链接库和一套统一的API，将系统提供的服务和该服务的认证方式分开，使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序，同时也便于向系统中添加新的认证手段。可以使用PAM中的功能实现锁定输入口令错误达到一定数量时锁定账户。锁定口令出错N次的账户22.使用PAM锁定账户通过PAM的pam_tally2.so模块，在用户登陆输入错密码N次后锁定帐号一定时间，到期自动解除限制登限。在/etc/pam.d/login中添加如下行：authrequiredpam_tally2.sodeny=3unlock_time=5even_deny_rootroot_unlock_time=10最多连续3次认证登录都出错时，5秒后解锁，root用户也可以被锁定，root用户10秒后解锁。锁定口令出错N次的账户2

3.状态查看与解锁通过PAM的pam_tally2.so模块，在用户登陆输入错密码N次后锁定帐号一定时间，到期自动解除限制登限。可以通过以下指令查看test2用户登录的错误次数及详细信息：

pam_tally2--usertest2可以通过以下命令清空test2用户的错误登录次数，即手动解锁：

pam_tally2--usertest2--reset总结3账户锁定账户锁定口令出错N次的账户单击此处编辑母版标题样式

设置操作系统的GRUB密码学习内容企业需求0102GRUB密码设置03总结企业需求1某公司的Linux服务器上存放重要数据，但是服务器的用户可以通过grub修改root用户密码，对系统进行设置防止别人进入grub破解root密码？企业需求1需求分析：对系统进行设置防止别人进入grub破解root密码，可以通过设定grub密码来实现。

GRUB密码设置21.grub2介绍

GRUB2取代grub逐渐成为主流，引导菜单启动从/boot自动生成，不是由menu.lst手工配置。

GRUB2运行时会读取自己的配置文件/boot/grub2/grub.cfg，该文件每次执行grub2-mkconfig命令后自动生成，所以修改该文件在内核升级后会失效。

CentOS7的grub.cfg不能直接修改，要通过修改/etc/default/grub来间接编辑grub.cfg。

GRUB密码设置22.grub加密加密步骤如下：（1）进入系统后，输入vim/etc/grub.d/10_linux，添加以下内容：

cat<<EOFsetsuperusers="username"passwordusernameuserpasswordEOF

注意：以上的username是用户名，userpassword是密码，可以根据自己情况设定。

GRUB密码设置22.grub加密（2