linux-安全管理-用户认证

Linux 安全管理：用户认证

一、概述

用户认证是 Linux 安全管理的核心部分，确保系统能够识别并验证合法用户，同时阻止未经授权的访问。Linux 提供了多种用户认证机制，包括用户名和密码认证、基于密钥的认证、双因素认证（2FA）等。此外，系统管理员还可以通过配置文件和策略管理用户权限，增强系统的安全性。

二、Linux 用户与组管理

在 Linux 中，用户和组是权限管理的基本单位。每个文件和进程都属于某个用户和组，并拥有特定的访问权限。系统通过 /etc/passwd 和 /etc/group 文件记录用户和组的信息。

1. 用户管理

1.1 新建用户

使用 useradd 命令可以创建新用户：

useradd username

• -m：为用户创建 home 目录。
• -s：指定登录 shell。
• -G：将用户添加到指定的组。

例如，创建一个名为 john 的用户，并指定其 home 目录和 shell：

useradd -m -s /bin/bash john

1.2 设置用户密码

新建用户后，需要为用户设置密码。可以使用 passwd 命令：

passwd username

例如，设置 john 用户的密码：

passwd john

1.3 删除用户

使用 userdel 命令可以删除用户：

userdel username

• -r：删除用户的 home 目录和邮件目录。

例如，删除 john 用户及其 home 目录：

userdel -r john

1.4 修改用户信息

使用 usermod 命令可以修改用户的属性，如组信息、登录 shell、home 目录等：

usermod -s /bin/zsh username

上述命令将用户的登录 shell 改为 zsh。

2. 组管理

组是 Linux 中权限管理的重要机制。一个用户可以属于多个组，文件权限可以基于用户组进行细粒度的控制。

2.1 新建组

使用 groupadd 命令创建新组：

groupadd groupname

例如，创建一个名为 developers 的组：

groupadd developers

2.2 将用户添加到组

使用 usermod 命令可以将用户添加到某个组：

usermod -aG groupname username

• -aG：追加用户到多个组。

例如，将用户 john 添加到 developers 组：

usermod -aG developers john

2.3 删除组

使用 groupdel 命令删除组：

groupdel groupname

例如，删除 developers 组：

groupdel developers

三、用户认证机制

Linux 提供了多种用户认证机制，包括基于密码的认证、基于密钥的认证、PAM（可插入认证模块）认证等。系统管理员可以根据不同的安全需求选择合适的认证机制。

1. 基于密码的认证

最常见的认证方式是用户名和密码组合。用户在登录时输入用户名和密码，系统通过检查 /etc/shadow 文件中的加密密码来验证用户身份。

1.1 /etc/passwd 文件

/etc/passwd 文件包含了系统中所有用户的基本信息，包括用户名、用户 ID、组 ID、home 目录、shell 等。

文件示例：

root:x:0:0:root:/root:/bin/bash
john:x:1001:1001:John Doe:/home/john:/bin/bash

1.2 /etc/shadow 文件

/etc/shadow 文件存储用户密码的加密形式，以及密码过期信息等安全策略。该文件只有 root 用户可以读取。

文件示例：

root:$6$randomsalt$hashedpassword:18765:0:99999:7:::
john:$6$anothersalt$anotherhashedpassword:18765:0:99999:7:::

在该文件中，密码通过哈希算法（如 SHA-512）进行加密，增强了安全性。

2. SSH 密钥认证

SSH 密钥认证 提供了一种比传统密码更安全的认证方式，尤其适用于远程服务器登录。SSH 密钥是一对加密的密钥，分别为公钥和私钥。

2.1 生成 SSH 密钥对

使用 ssh-keygen 命令可以生成 SSH 密钥对：

ssh-keygen -t rsa -b 4096

• -t：指定加密算法（如 rsa、dsa、ecdsa 等）。
• -b：指定密钥长度，推荐使用 4096 位。

生成的密钥对包括：

• 公钥：用于上传到服务器，存储在 ~/.ssh/id_rsa.pub。
• 私钥：保存在本地，存储在 ~/.ssh/id_rsa。

2.2 配置 SSH 密钥认证

将公钥上传到远程服务器的 ~/.ssh/authorized_keys 文件中：

cat ~/.ssh/id_rsa.pub | ssh user@server "mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys"

这样，用户下次登录该服务器时，无需输入密码，只需通过私钥认证即可登录。

2.3 禁用密码登录

为了提高安全性，可以在 SSH 配置文件 /etc/ssh/sshd_config 中禁用密码登录：

PasswordAuthentication no

重启 SSH 服务使更改生效：

systemctl restart sshd

3. PAM（Pluggable Authentication Modules）

PAM 是 Linux 的可插入认证模块，它为认证过程提供了统一的框架。系统管理员可以通过 PAM 配置文件定义多种认证方式，如密码认证、双因素认证（2FA）、账户锁定等。

3.1 PAM 配置文件

PAM 配置文件位于 /etc/pam.d/ 目录下，每个服务（如 SSH、登录、sudo）都有独立的配置文件。例如，SSH 服务的 PAM 配置文件是 /etc/pam.d/sshd。

PAM 配置文件的基本格式如下：

type control module-path module-arguments

其中，type 定义了 PAM 模块的类型，常见类型包括：

• auth：认证模块，用于验证用户身份。
• account：账户模块，检查用户的账户状态（如是否过期）。
• password：密码模块，用于管理用户密码。
• session：会话模块，用于设置或终止用户会话。

3.2 密码策略配置

可以通过 PAM 设定密码强度要求，如最小长度、复杂度等。例如，在 /etc/pam.d/common-password 文件中使用 pam_pwquality.so 模块：

password requisite pam_pwquality.so retry=3 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1

这将要求密码至少包含一个大写字母、小写字母和数字，最小长度为 8。

4. 双因素认证（2FA）

双因素认证是一种增强型安全机制，它要求用户在输入密码后，还需提供另一种身份验证因素（如手机验证码）。在 Linux 系统中，可以通过 PAM 模块结合 Google Authenticator 实现双因素认证。

4.1 安装 Google Authenticator

首先，安装 Google Authenticator PAM 模块：

yum install google-authenticator

4.2 配置 Google Authenticator

为用户设置 Google Authenticator：

google-authenticator

根据提示生成二维码，用户可以使用 Google Authenticator 应用扫描该二维码并获取动态验证码。

4.3 配置 PAM 使用 2FA

在 /etc/pam.d/sshd 中添加以下行，启用 PAM 2FA：

auth required pam_google_authenticator.so

同时，在 /etc/ssh/sshd_config 中启用以下配置：

ChallengeResponseAuthentication yes

重启 SSH 服务后，用户在登录时将需要输入密码和动态验证码。

四、用户权限管理与审计

除了用户认证外，权限管理和审计也是安全管理的重要组成部分。通过合理配置权限和日志审计，管理员可以确保系统的访问控制和行为追踪。

1. sudo 权限管理

sudo 命令允许普通用户以管理员身份执行命令，但不需要直接使用 root 账户。sudo 的权限配置文件是 /etc/sudoers。

编辑 `sudoers

文件时，使用visudo` 工具：

visudo

示例：允许用户 john 以 root 权限运行所有命令：

john ALL=(ALL) ALL

2. 审计日志

Linux 系统提供了多种日志审计工具，如 auditd、syslog 等，用于记录系统活动，帮助管理员监控潜在的安全问题。

auditd 是 Linux 的审计守护进程，记录所有关键事件。安装 auditd：

yum install audit

启动 auditd 服务：

systemctl start auditd
systemctl enable auditd

审计规则可以通过 /etc/audit/audit.rules 文件配置。例如，监控对 /etc/passwd 文件的修改：

-w /etc/passwd -p wa -k passwd_changes

查看审计日志：

ausearch -k passwd_changes

五、总结

用户认证是 Linux 安全管理的核心，通过用户名/密码、SSH 密钥、PAM 和双因素认证等机制，管理员可以确保系统的安全访问。同时，合理的用户和权限管理，以及日志审计等措施，能够有效提升系统的安全性。

为保证 Linux 系统的安全，管理员应采取以下措施：

1. 确保密码策略的强度和安全性。
2. 使用 SSH 密钥认证代替密码认证。
3. 启用双因素认证以增强用户身份验证。
4. 定期审计系统日志，及时发现潜在的安全风险。