锦州市广厦电脑维修|上门维修电脑|上门做系统|0416-3905144热诚服务,锦州广厦维修电脑,公司IT外包服务
topFlag1 设为首页
topFlag3 收藏本站
 
maojin003 首 页 公司介绍 服务项目 服务报价 维修流程 IT外包服务 服务器维护 技术文章 常见故障
锦州市广厦电脑维修|上门维修电脑|上门做系统|0416-3905144热诚服务技术文章
关于服务器安全加固方案:安全策略修改密码

作者: 佚名  日期:2017-04-21 08:20:06   来源: 本站整理

 服务器安全加固方案:安全策略修改密码。前段时间根据公司要求对部分服务器进行安全加固,加固内容中有一项是要设置用户口令周期时间的。事实证明,这个木有任务用处。下面是在虚拟机环境下一个小小滴测试:  首先,登陆服务器,查看一下/etc/login.def

\

然后再查看一下/etc/shadow

\

发现两者口令策略是完全对的上的。  然后,我们修改/etc/login.def

\

第一行,密码使用最长时间为90天,90天后会有提醒。  第二行,密码使用最短时间为10天,10天之内是不能修改密码的。  第三行,密码复杂度,最少8位  第四行,密码过期后会提醒5天,5天之后还没改密码的话,帐号会被冻结失效。  修改过后,再查看/etc/shadow,发现没有任何改变。然后我们再 useradd test 添加一个帐号,发现新加的帐号适应修改后的口令周期设置。

\

经过多次反复测试,发现无论是添加普通帐号还是管理员帐号,还是修改PASS_MIN_DAYS、PASS_MIN_LEN、PASS_WARN_AGE几个选项,都只适用于后来添加的帐号,对于之前已经存在的帐号不存在任何影响。

同事修改linux root密码时出现错误passwd: Authentication token manipulation error发生该错误原因是:1、分区没有空间导致。2、/etc/passwd 和/etc/shadow不同步但是这次上面两条却行不通,通过df查看根分区还有40%剩余。 1、尝试修改密码,出现错误# passwdChanging password for user root.New UNIX password: BAD PASSWORD: it is WAY too shortRetype new UNIX password: passwd: Authentication token manipulation error2、同步/etc/passwd 和/etc/shadow出错 #pwconvpwconv: can't lock passwd file3、看权限没有异常,也没有进程锁定该文件# ll /etc/passwd-rwxr--r-- 1 root root 2752 Dec 31 17:29 /etc/passwd# fuser -u /etc/passwd# lsof |grep passwd4、cp lock文件出错,提示空间不足# cp /tmp/.pwd.lock /etc/cp: cannot create regular file `/etc/.pwd.lock': No space left on device5、上面的错误惊醒了我,查看确实是inode满了,删除无用的文件#df -iFilesystem Inodes IUsed IFree IUse% Mounted on/dev/sda5 2562240 2562240 0 100% //dev/sda1 50200 47 50153 1% /boot/dev/sda2 51300000 12 51299988 1% /data/cache1/dev/sdb1 51300000 7080311 44219689 14% /data/cache2/dev/sdb2 9863168 11 9863157 1% /data/proclognone 215907 1 215906 1% /dev/shm/dev/sda3 3842720 305795 3536925 8% /usr/dev/sda7 3162112 7893 3154219 1% /var6、再次修改密码仍然出错,于是尝试修改/etc/passwd也出现错误# chmod 777 /etc/passwdchmod: changing permissions of `/etc/passwd': Operation not permitted7、执行chattr #chattr -i /etc/passwd# lsattr -v /etc/passwd 2095582053 ------------- /etc/passwd# chattr -i /etc/shadow8、同步文件pwconv9、成功修改密码passwd Changing password for user root.New UNIX password: BAD PASSWORD: it is WAY too shortRetype new UNIX password: passwd: all authentication tokens updated successfully.#

修改密码时提示错误[root@WS10111509 ~]# passwd rootChanging password for user root.New UNIX password:Retype new UNIX password:passwd: Authentication token manipulation error

2,修改权限时提示错误[root@WS10111509 ~]# chmod 755 /etc/passwdchmod: changing permissions of `/etc/passwd’: Operation not permitted

3,同步/etc/passwd 和/etc/shadow出错#pwconvpwconv: can’t lock passwd file

4,操做方法。检查:# fuser -u /etc/passwd //查看是否有写入权限# lsof |grep passwd //查看是否有写入权限# ll /etc/.pwd.lock //查看是否有此文件# df -i //查看是否空间被占满# lsattr /etc/shawr //查看是否被写保护

lsattr /etc/passwd—i———- //被标记了i属性

chattr -i /etc/passwdchmod 755 /etc/passwd

lsattr /etc/shawr—-i——– //被标记了i属性

chattr -i /etc/shawchmod 755 /etc/shaw

#pwconv 同步/etc/passwd 和/etc/shadow

pawsswd root 不会出错了。修改密码后

5,加回保护

#chattr命令只能管理员使用,重新保护passwd文件chattr +i /etc/passwdchattr +i /etc/shaw

还有一种可能就是有的系统是限制了5天内不能修改密码,也会出现这样的错误。

基本的修改密码命令

1、passwd 简单说明;

我们已经学会如何添加用户了,所以我们还要学习设置或修改用户的密码;passwd命令的用法也很多,我们只选如下的几个参数加以说明;想了解更多,请参考man passwd或passwd --help ;

[OPTION...]

passwd 作为普通用户和超级权限用户都可以运行,但作为普通用户只能更改自己的用户密码,但前提是没有被root用户锁定;如果root用户运行passwd ,可以设置或修改任何用户的密码;

passwd 命令后面不接任何参数或用户名,则表示修改当前用户的密码;请看下面的例子;

[[email protected]

~]# passwd注:没有加任何用户,我是用root用户来执行的passwd 表示修改root用户的密码;下面也有提示;

Changing password for user root.

New UNIX password: 注:请输入新密码;

Retype new UNIX password: 注:验证新密码;

passwd: all authentication tokens updated successfully. 注:修改root密码成功;

如果是普通用户执行passwd 只能修改自己的密码;

如果新建用户后,要为新用户创建密码,则用 passwd 用户名 ,注意要以root用户的权限来创建;

[

~]# passwd beinan注:更改或创建beinan用户的密码;

Changing password for user beinan.

New UNIX password: 注:请输入新密码;

Retype new UNIX password: 注:再输入一次;

passwd: all authentication tokens updated successfully. 注:成功;

普通用户如果想更改自己的密码,直接运行passwd即可;比如当前操作的用户是beinan;

[

~]$ passwd

Changing password for user beinan. 注:更改beinan用户的密码;

(current) UNIX password: 注:请输入当前密码;

New UNIX password: 注:请输入新密码;

Retype new UNIX password: 注:确认新密码;

passwd: all authentication tokens updated successfully. 注:更改成功;

2、passwd 几个比较重要的参数;

[

beinan]# passwd --help

Usage: passwd [OPTION...]

-k, --keep-tokens keep non-expired authentication tokens

注:保留即将过期的用户在期满后能仍能使用;

-d, --delete delete the password for the named account (root only)

注:删除用户密码,仅能以root权限操作;

-l, --lock lock the named account (root only)

注:锁住用户无权更改其密码,仅能通过root权限操作;

-u, --unlock unlock the named account (root only)

注:解除锁定;

-f, --force force operation

注:强制操作;仅root权限才能操作;

-x, --maximum=DAYS maximum password lifetime (root only) 注:两次密码修正的最大天数,后面接数字;仅能root权限操作;

-n, --minimum=DAYS minimum password lifetime (root only) 注:两次密码修改的最小天数,后面接数字,仅能root权限操作;

-w, --warning=DAYS number of days warning users receives before 注:在距多少天提醒用户修改密码;仅能root权限操作;

password expiration (root only)

-i, --inactive=DAYS number of days after password expiration when an 注:在密码过期后多少天,用户被禁掉,仅能以root操作;

account becomes disabled (root only)

-S, --status report password status on the named account (root 注:查询用户的密码状态,仅能root用户操作;

only)

--stdin read new tokens from stdin (root only)

比如我们让某个用户不能修改密码,可以用-l 参数来锁定:

[

~]# passwd -l beinan注:锁定用户beinan不能更改密码;

Locking password for user beinan.

passwd: Success 注:锁定成功;

[[email protected] ~]# su beinan 注:通过su切换到beinan用户;

[[email protected] ~]$ passwd 注:beinan来更改密码;

Changing password for user beinan.

Changing password for beinan

(current) UNIX password: 注:输入beinan的当前密码;

passwd: Authentication token manipulation error 注:

,不能更改密码;

再来一例:

[

~]# passwd -d beinan注:清除beinan用户密码;

Removing password for user beinan.

passwd: Success 注:清除成功;

[[email protected]

~]# passwd -S beinan注:查询beinan用户密码状态;

Empty password. 注:空密码,也就是没有密码;

注意: 当我们清除一个用户的密码时,登录时就无需密码;这一点要加以注意;

3、chage 修改用户密码有效期限的命令;

chage 用语法格式:

chage [-l] [-m 最小天数] [-M 最大天数] [-W 警告] [-I 失效日] [-E 过期日] [-d 最后日] 用户

前面已经说的好多了,这个只是一笔带过吧,知道有这个命令就行,自己实践实践再说,大体和psswd有些参数的用法差不多;

密 码时效命令-----chage

格式为:chage []

下面列出了chage命令的选项说明:

-m days: 密码可更改的最小天数。为零时代表任何时候都可以更改密码。

-M days: 指定口令有效的最多天数。当该选项指定的天数加上-d选项指定的天数小于当前的日期时,用户在使用该帐号前就必须改变口令。

-d days: 指定从1970年1月1日起,口令被改变的天数。

-I days: 指定口令过期后,帐号被锁前不活跃的天数。如果值为0,帐号在口令过期后就不会被锁。

-E date: 指定帐号被锁的日期。日期格式YYYY-MM-DD。若不用日期,也可以使用自1970年1月1日后经过的天数。

-W days: 指定口令过期前要警告用户的天数。

-l: 列出指定用户当前的口令时效信息,以确定帐号何时过期。

例如下面的命令要求用户user1两天内不能更改口令,并且口令最长的存活期为30天,并且口令过期前5天通知用户

chage -m 2 -M 30 -W 5 user1

可以使用如下命令查看用户user1当前的口令时效信息:chage -l user1

提示:1)可以使用chage 进入交互模式修改用户的口令时效。

2)修改口令实质上就是修改影子口令文件/etc/shadow中与口令时效相关的字段值。

强制用户在下次登录时修改密码

每个Linux用户都关联这不同的密码相关配置和信息。比如,记录着上次密码更改的日期、最小/最大的修改密码的天数、密码何时过期等等。

一个叫chage的命令行工具可以访问并调整密码过期相关配置。你可以使用这个工具来强制用户在下次登录修改密码、

要查看特定用户的过期信息(比如:alice),运行下面的命令。注意的是除了你自己之外查看其他任何用户的密码信息都需要root权限。

$ sudo chage -l alice

强制用户修改密码

如果你想要强制用户去修改他/她的密码,使用下面的命令。

$ sudo chage -d

原本“-d ”参数是用来设置密码的“年龄”(也就是上次修改密码起到1970/1/1起的天数)。因此“-d0”的意思是上次密码修改的时间是1970/1/1,这就让当前的密码过期了,也就强制让他在下次登录的时候修改密码了。

另外一个过期当前密码的方式是用passwd命令。

$ sudo passwd -e

上面的命令和“chage -d0”作用一样,让当前用户的密码立即过期。

现在检查用户的信息,你会发现:

当你再次登录时候,你会被要求修改密码。你会在修改前被要求再验证一次当前密码。



热门文章
  • 机械革命S1 PRO-02 开机不显示 黑...
  • 联想ThinkPad NM-C641上电掉电点不...
  • 三星一体激光打印机SCX-4521F维修...
  • 通过串口命令查看EMMC擦写次数和判...
  • IIS 8 开启 GZIP压缩来减少网络请求...
  • 索尼kd-49x7500e背光一半暗且闪烁 ...
  • 楼宇对讲门禁读卡异常维修,读卡芯...
  • 新款海信电视机始终停留在开机界面...
  • 常见打印机清零步骤
  • 安装驱动时提示不包含数字签名的解...
  • 共享打印机需要密码的解决方法
  • 图解Windows 7系统快速共享打印机的...
  • 锦州广厦电脑上门维修

    报修电话:13840665804  QQ:174984393 (联系人:毛先生)   
    E-Mail:174984393@qq.com
    维修中心地址:锦州广厦电脑城
    ICP备案/许可证号:辽ICP备2023002984号-1
    上门服务区域: 辽宁锦州市区
    主要业务: 修电脑,电脑修理,电脑维护,上门维修电脑,黑屏蓝屏死机故障排除,无线上网设置,IT服务外包,局域网组建,ADSL共享上网,路由器设置,数据恢复,密码破解,光盘刻录制作等服务

    技术支持:微软等