| |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
-> 系统运维 -> 加固的操作系统,如何创建SFTP账号 -> 正文阅读 |
|
[系统运维]加固的操作系统,如何创建SFTP账号 |
前言操作系统版本:Centos 7 因为安全原因,操作系统被加固。加固过后,无法创建或者修改sftp账号。 正文1. 如果系统已经加固,那么创建一个新用户,会报错如下:useradd: cannot open /etc/passwd
2. 查看passwd文件的隐藏属性:
上面的 i 表示文件不可修改,因此,执行 useradd test 命令时,会提示不能打开该文件。 3. 修改文件的隐藏属性,去掉 i 属性:
使用chattr -i 即可删除 i 属性,再次查看文件隐藏属性:
此时,会发现 i 属性已经没有了。再次创建用户:
提示不能打开group文件,重复上面的步骤,将group的隐藏属性去掉,再次执行创建用户命令,看是否还有异常信息,直到创建用户成功。 为了简述,这里就直接罗列出创建用户涉及到的文件:
?检查以上四个文件的隐藏属性,如果包含 i ,则对其进行修改,直到用户创建成功。
4. 创建密码:
密码创建失败,报错信息:passwd: Authentication token manipulation error 。这时需要检查/etc/pam.d/system-auth文件。加固时,会修改该文件,增加密码的复杂度等规则。由于彼此修改的规则不同,因此,为了省事,建议找一个未加固的版本来替换,当然,首先需要备份当前文件/etc/pam.d/system-auth,比如:
注意:system-auth 可能是一个软链接,指向的是/etc/pam.d/system-auth-ac,所以需要注意修改的文件是否准确。 这里放一个未加固的配置供参考,可用此配置来绕过密码创建失败的问题: #%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required pam_env.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 1000 quiet_success auth required pam_deny.so account required pam_unix.so account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < 1000 quiet account required pam_permit.so password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok password required pam_deny.so session optional pam_keyinit.so revoke session required pam_limits.so -session optional pam_systemd.so session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid session required pam_unix.so 直接将上面的内容复制,然后粘贴至/etc/pam.d/system-auth里面即可。接下来,重新执行创建密码的命令:
上面为test用户设置的密码也是test,密码设置成功。 后续其他动作,我这里就不在赘述,比如:修改目录所属用户组,修改目录的读写权限等等。 待上述操作都执行完后,我们还需要将之前修改的所有配置都改回去,保证系统依然是加固版本,避免不安全因素发生。 5. 恢复加固,前面提到的删除隐藏属性用到的是chattr -i,恢复隐藏属性则用:chattr +i。- 表示删除,+表示增加,很好记吧。为了直观对比,以下命令在执行修改前后都先输出了文件当前的隐藏属性:
同样的方法,将/etc/group,/etc/shadow,/etc/gshadow 都加上隐藏属性。 另外,我们还修改了/etc/pam.d/system-auth文件,将备份文件恢复即可:
至此,加固恢复完毕,想要验证是否生效,则可以创建一个新用户,比如:useradd test1,看看是否允许创建即可。 |
|
|
上一篇文章 下一篇文章 查看所有文章 |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 | -2024/12/28 3:25:07- |
|
网站联系: qq:121756557 email:121756557@qq.com IT数码 |
数据统计 |