内容一:导出 iptables 防火墙规则
# iptables-save > /root/iptables_save(补充:这里以将 iptables 防火墙规则导出到 /root/iptables_save 文件为例)
内容二:导入 iptables 防火墙规则
# iptables-restore < /root/iptables_save(补充:这里以将 /root/iptables_save 文件里的内容导入到 iptables 防火墙为例)
[排错] 解决 Linux 运行 authselect apply-changes 命令时报错 “[error] [/etc/authselect/system-auth] has unexpected content!” 或者 “[error] [/etc/authselect/password-auth] has unexpected content!”
报错命令
# authselect apply-changes报错代码
[error] [/etc/authselect/system-auth] has unexpected content!
[error] [/etc/authselect/password-auth] has unexpected content!
[error] Unexpected changes to the configuration were detected.
[error] Refusing to activate profile unless those changes are removed or overwrite is requested.或者:
[error] [/etc/authselect/system-auth] has unexpected content!
[error] Unexpected changes to the configuration were detected.
[error] Refusing to activate profile unless those changes are removed or overwrite is requested.或者:
[error] [/etc/authselect/password-auth] has unexpected content!
[error] Unexpected changes to the configuration were detected.
[error] Refusing to activate profile unless those changes are removed or overwrite is requested.分析
/etc/authselect/system-auth 文件或 /etc/authselect/password-auth 文件是不应该被手动修改的,如果被手动修改了,再使用 authselect select sssd 命令或者 authselect apply-changes 命令时则会有此类报错
解决方法
# authselect apply-changes(注意:此方法会刷新 /etc/authselect/system-auth 文件和 /etc/authselect/password-auth 文件里的所有内容)
[内容] Linux 用户登录相关日志
内容一:所有用户正在登录的记录
1.1 所有用户正在登录的记录
/var/run/utmp1.1 所有用户正在登录记录的显示
# who或者:
# w或者:
# users内容二:所有用户登录和登出的记录
2.1 所有用户登录和登出的记录
/var/log/wtmp2.1 所有用户登录和登出记录的显示
# last(注意:last 命令显示用户时最多只会显示前 8 个字符)
或者:
# ac内容三:所有用户最后一次登录的记录
3.1 所有用户最后一次登录的记录
/var/log/lastlog3.2 所有用户最后一次登录记录的显示
# lastlog内容四:所有错误登录尝试的记录
4.1 所有错误登录尝试的记录
/var/log/btmp4.2 所有错误登录尝试记录的显示
# lastb内容五:所有信息 (其中也包括用户登录相关的记录)
/var/log/messages内容六:所有用户登录相关的记录
/var/log/secure[步骤] sudo 提权的实现 (sudo 提权的同时可以使用代理) (openSUSE & SLES)
步骤一:给用户添加相应的 sudo 权限
# vim /etc/sudoers或者:
# visudo添加以下内容:
……
zhumingyu ALL=(ALL) /usr/bin/mysql(补充:这里以给用户 zhumingyu 添加 /usr/bin/mysql 命令为例)
步骤二:设置用户使用自己的密码实现 sudo 提权
# vim /etc/sudoers在
......
env_reset
......这一行下面添加:
......
Defaults env_keep += "http_proxy https_proxy"
......(补充:这里以允许用户在进行 sudo 提权的同时也能使用 http_proxy、https_proxy 为例)
[步骤] Linux 密码的安全 (本地和 SSH 输错密码次数的限制)(pam_faillock 版) (CentOS Linux 7 & Rocky Linux 8 & RHEL 7 & RHEL 8 版)
正文:
步骤一:背景了解
从 CentOS Linux 8 & RHEL 8 开始,系统的身份验证模块从 CentOS Linux 7 & RHEL 7 的 pam_tally2 换成了 pam_faillock
步骤二:让 sshd 使用可插入身份验证模块
2.1 修改 /etc/ssh/sshd_config 配置文件
# vim /etc/ssh/sshd_config将以下内容:
......
#UsePAM no
......修改为:
......
UsePAM yes
......2.2 让修改的配置生效
# systemctl restart sshd步骤三:让本地登录和 sshd 登录使用密码认证
3.1 确认 /etc/pam.d/login 配置文件
# cat /etc/pam.d/login | grep system-auth确保包含以下内容:
auth substack system-auth
account include system-auth
password include system-auth
session include system-auth3.2 确认 /etc/pam.d/sshd 配置文件
# cat /etc/pam.d/sshd | grep password-auth确保包含以下内容:
auth substack password-auth
account include password-auth
password include password-auth
session include password-auth步骤四:设置 pam_faillock.so 模块
4.1 方法一:在配置文件中添加 pam_faillock.so 模块和相关参数
4.1.1 在 /etc/pam.d/system-auth 配置文件中添加 pam_faillock.so 模块和相关参数 (Rocky Linux 8 & RHEL 8 不建议)
# vim /etc/pam.d/system-auth在此行:
......
auth required pam_env.so
......下面添加:
......
auth required pam_faillock.so preauth silent audit even_deny_root deny=6 unlock_time=180
......在此行:
......
auth sufficient pam_unix.so nullok try_first_pass
......下面添加:
......
auth [default=die] pam_faillock.so authfail audit even_deny_root deny=6 unlock_time=180
......在此行:
......
account required pam_unix.so
......下面添加:
......
account required pam_faillock.so
......(补充:这里以包括 root 用户每使用密码 SSH 远程登录失败 6 次则被锁定 180 秒为例)
(
注意:
Rocky Linux 8 & RHEL 8 不建议执行此步骤,执行后 Rocky Linux 8 & RHEL 8 正常的 SFTP 登录会被视为失败,不过正常的 SSH 登录不受影响。若要确保正常 SFTP 登录不被视为失败登录,则需要确保部分内容如下:
# cat /etc/authselect/system-auth
......
auth required pam_faillock.so preauth silent
......
auth required pam_faillock.so authfail
......
account required pam_faillock.so
......)
4.1.2 在 /etc/pam.d/system-auth 配置文件中设置登录失败几次后提示登录失败
# vim /etc/pam.d/system-auth将以下内容:
......
password requisite pam_pwquality.so ......
......修改为:
......
password requisite pam_pwquality.so try_first_pass local_users_only enforce-for-root retry=3 ......
......(补充:这里以登录失败 3 次后提示登录失败为例)
4.1.3 在 /etc/pam.d/password-auth 配置文件中添加 pam_faillock.so 模块和相关参数 (Rocky Linux 8 & RHEL 8 不建议)
# vim /etc/pam.d/password-auth在此行:
......
auth required pam_env.so
......下面添加:
......
auth required pam_faillock.so preauth silent audit even_deny_root deny=6 unlock_time=180
......在此行:
......
auth sufficient pam_unix.so try_first_pass nullok
......下面添加:
......
auth [default=die] pam_faillock.so authfail audit even_deny_root deny=6 unlock_time=180
......在此行:
......
account required pam_unix.so
......下面添加:
......
account required pam_faillock.so
......(补充:这里以包括 root 用户每使用密码 SSH 远程登录失败 6 次则被锁定 180 秒为例)
(
注意:Rocky Linux 8 & RHEL 8 不建议执行此步骤,执行后 Rocky Linux 8 & RHEL 8 正常的 SFTP 登录会被视为错误失败,不过正常的 SSH 登录不受影响。若要确保正常 SFTP 登录不被视为失败登录,则需要确保部分内容如下:
# cat /etc/authselect/password-auth
......
auth required pam_faillock.so preauth silent
......
auth required pam_faillock.so authfail
......
account required pam_faillock.so
......)
4.1.4 在 /etc/pam.d/password-auth 配置文件中设置登录失败几次后提示登录失败
# vim /etc/pam.d/password-auth将以下内容:
......
password requisite pam_pwquality.so ......
......修改为:
......
password requisite pam_pwquality.so try_first_pass local_users_only enforce-for-root retry=3 ......
......(补充:这里以登录失败 3 次后提示登录失败为例)
4.1.5 修改 /etc/security/faillock.conf 配置文件 (只在 Rocky Linux 8 & RHEL 8 上执行)
# vim /etc/security/faillock.conf将以下内容:
......
# deny =
......
# unlock_time =
......修改为:
......
deny = 6
......
unlock_time = 180
......(注意:只在 Rocky Linux 8 & RHEL 8 才进行此操作)
4.2 方法二:通过 authconfig 命令启用 pam_faillock.so 模块并设置相关参数
4.2.1 通过 authconfig 命令启用 pam_faillock.so 模块并设置相关参数
# authconfig --enablefaillock --faillockargs="deny=6 unlock_timeout=180" --update(
补充:
1) 这里以包括 root 用户每使用密码 SSH 远程登录失败 6 次则被锁定 180 秒
2) 登录失败 3 次后提示登录失败
为例
)
4.2.2 通过 authconfig 命令启用 pam_faillock.so 模块并设置相关参数
# authconfig --disablefaillock --update步骤五:用户登录失败的管理
5.1 显示某个用户近期输错了几次密码
# faillock --user root(补充:这里以显示 root 用户近期输错了几次密码为例)
5.2 重制远程登录密码输错次数
5.2.1 重制某用户远程登录密码输错次数
# faillock --user root --reset5.2.2 重制所有用户远程登录密码输错次数
# faillock --reset步骤六:部分用户输错密码次数限制的排除 (Rocky Linux 8 & RHEL 8 不建议)
6.1 在 /etc/pam.d/system-auth 配置文件中添加 pam_succeed_if.so 模块和相关参数 (Rocky Linux 8 & RHEL 8 不建议)
# vim /etc/pam.d/system-auth在此行:
......
auth required pam_faillock.so preauth silent audit even_deny_root deny=6 unlock_time=180
......下面添加:
......
auth [success=1 default=ignore] pam_succeed_if.so user in mingyuzhu1:mingyuzhu2:mingyuzhu3
......(补充:这里以排除用户 zhumingyu1、zhumingyu2 和 zhumingyu3 的输错密码次数限制为例)
(注意:Rocky Linux 8 & RHEL 8 不建议执行此步骤)
5.2 在 /etc/pam.d/password-auth 配置文件中添加 pam_succeed_if.so 模块和相关参数 (Rocky Linux 8 & RHEL 8 不建议)
# vim /etc/pam.d/password-auth在此行:
......
auth [default=die] pam_faillock.so authfail audit even_deny_root deny=6 unlock_time=180
......下面添加:
......
auth [success=1 default=ignore] pam_succeed_if.so user in mingyuzhu1:mingyuzhu2:mingyuzhu3
......(补充:这里以排除用户 zhumingyu1、zhumingyu2 和 zhumingyu3 的输错密码次数限制为例)
(注意:Rocky Linux 8 & RHEL 8 不建议执行此步骤)
参考文献:
https://access.redhat.com/solutions/62949