1.1 問題
本案例要求練習linux系統的基本防護措施,完成以下任務:
修改使用者zhangsan的賬號屬性,設定為2019-12-31日失效(禁止登入)
臨時鎖定使用者lisi的賬戶,使其無法登入,驗證效果後解除鎖定
修改tty終端提示,使得登入前看到的第一行文字為「windows server 2012 enterprise r2」,第二行文字為「nt 6.2 hybrid」
鎖定檔案/etc/resolv.conf、/etc/hosts,以防止其內容被無意中修改
實現此案例需要按照如下步驟進行。
步驟一:修改使用者zhangsan的賬戶屬性,設定為2019-12-31日失效(禁止登入)
1)正常情況下,未過期的賬號可以正常登入,使用chage可以修改賬戶有效期。
chage命令的語法格式:
chage –l 賬戶名稱 //檢視賬戶資訊
chage –e 時間 賬戶名稱 //修改賬戶有效期
使用chage命令將使用者zhangsan的賬戶設為當前已失效(比如已經過去的某個時間):
[root@proxy ~]# useradd zhangsan
[root@proxy ~]# chage -e 2019-12-31 zhangsan
3)重設使用者zhangsan的屬性,將失效時間設為2019-12-31
[root@proxy ~]# chage -e 2019-12-31 zhangsan //修改失效日期
[root@proxy ~]# chage -l zhangsan //檢視賬戶年齡資訊
last password change : may 15, 2017
password expires : never
password inactive : never
account expires : dec 31, 2019
minimum number of days between password change : 0
maximum number of days between password change : 99999
number of days of warning before password expires : 7
/etc/login.defs這個配置檔案,決定了賬戶密碼的預設有效期。
[root@proxy ~]# cat /etc/login.defs
pass_max_days 99999 //密碼最長有效期
pass_min_days 0 //密碼最短有效期
pass_min_len 5 //密碼最短長度
pass_warn_age 7 //密碼過期前幾天提示警告資訊
uid_min 1000 //uid最小值
uid_max 60000 //uid最大值
1)鎖定使用者賬號
使用passwd或usermod命令將使用者zhangsan的賬戶鎖定。
[root@proxy ~]# passwd -l zhangsan //鎖定使用者賬號lock
鎖定使用者 zhangsan 的密碼。
passwd: 操作成功
[root@proxy ~]# passwd -s zhangsan //檢視狀態status
zhangsan lk 2018-02-22 0 99999 7 -1 (密碼已被鎖定。)
輸入正確的使用者名稱、密碼,始終提示「login incorrect」,無法登入。
3)解除對使用者zhangsan的鎖定
[root@proxy ~]# passwd -u zhangsan //解鎖使用者賬號
解鎖使用者 zhangsan 的密碼 。
passwd: 操作成功
[root@proxy ~]# passwd -s zhangsan //檢視狀態
zhangsan ps 2018-08-14 0 99999 7 -1 (密碼已設定,使用 sha512 加密。)
1)賬戶在登入linux系統時,缺省會顯示登陸資訊(包括作業系統核心資訊)
/etc/issue這個配置檔案裡儲存的就是這些登陸資訊,修改該檔案防止核心資訊洩露。
[root@proxy ~]# cat /etc/issue //確認原始檔案
red hat enterprise linux server release 6.5 (santiago)
kernel \r on an \m
[root@proxy ~]# cp /etc/issue /etc/issue.origin //備份檔案
[root@proxy ~]# vim /etc/issue //修改檔案內容
windows server 2012 enterprise r2
nt 6.2 hybrid
退出已登入的tty終端,或者重啟linux系統,重新整理後的終端提示資訊會變成自定義的文字內容,如圖-1所示。
圖-1步驟四:鎖定檔案/etc/resolv.conf、/etc/hosts
1)語法格式:
# chattr +i 檔名 //鎖定檔案(無法修改、刪除等)
# chattr -i 檔名 //解鎖檔案
# chattr +a 檔名 //鎖定後檔案僅可追加
# chattr -a 檔名 //解鎖檔案
# lsattr 檔名 //檢視檔案特殊屬性
[root@proxy ~]# chattr +i /etc/resolv.conf
[root@proxy ~]# lsattr /etc/resolv.conf
----i---------- /etc/resolv.conf
3)使用+a鎖定檔案(僅可追加),使用lsattr檢視屬性
[root@proxy ~]# chattr +a /etc/hosts
[root@proxy ~]# lsattr /etc/hosts
-----a---------- /etc/hosts
[root@proxy ~]# rm -rf /etc/resolv.conf
rm: 無法刪除"/etc/resolv.conf": 不允許的操作
[root@proxy ~]# echo xyz > /etc/resolv.conf
-bash: resolv.conf: 許可權不夠
[root@proxy ~]# rm -rf /etc/hosts //失敗
[root@proxy ~]# echo "192.168.4.1 xyz" > /etc/hosts //失敗
[root@proxy ~]# echo "192.168.4.1 xyz" >> /etc/hosts //成功
[root@proxy ~]# chattr -i /etc/resolv.conf
[root@proxy ~]# chattr -i /etc/hosts
[root@proxy ~]# lsattr /etc/resolv.conf /etc/hosts
--------------- /etc/resolv.conf
--------------- /etc/hosts
Linux基本防護措施
root svr5 passwd s lisi 檢視狀態 lisi lk 2013 08 14 0 99999 7 1 密碼已被鎖定。3 驗證使用者lisi已無法登入,說明鎖定生效 輸入正確的使用者名稱 密碼,始終提示 login incorrect 無法登入。4 解除對使用者lisi的鎖定 roo...
Linux基本防護措施
本案例要求練習linux系統的基本防護措施,完成以下任務 禁止普通使用者使用reboot halt poweroff程式 修改使用者zhangsan的賬號屬性,設定為2015 12 31日失效 禁止登入 鎖定使用者lisi的賬戶,使其無法登入,驗證效果後解除鎖定 鎖定檔案 etc resolv.co...
Linux基本防護措施
實現此案例需要按照如下步驟進行。步驟一 禁止普通使用者使用reboot halt poweroff程式 1 測試預設的控制台程式許可權 linux系統的consolehelper機制允許普通使用者執行一部分特權程式,以方便使用者使用linux主機。比方說,普通使用者 如zengye 登入後,可以執行...