如何用PAM认证加强Linux服务器安全

用户口令用户口令是Linux安全的一个基本起点，很多人使用的用户口令过于简单，这等于给侵入者敞开了大门，虽然从理论上说，只要有足够的时间和资源可以利用，就没有不能破解的用户口令，但选取得当的口令是难于破解的。较好的用户口令是那些只有他自己容易记得并理解的一串字符，并且绝对不要在任何地方写出来。默认账号应该禁止所有默认的被 *** 作系统本身启动的并且不必要的账号，当您第一次安装系统时就应该这么做，Linux提供了很多默认账号，而账号越多，系统就越容易受到攻击。可以用下面的命令删除账号。# userdel用户名或者用以下的命令删除组用户账号。# groupdel username口令文件chattr命令给下面的文件加上不可更改属性，从而防止非授权用户获得权限。# chattr +i /etc/passwd # chattr +i /etc/shadow # chattr +i /etc/group # chattr +i /etc/gshadow 禁止Ctrl+Alt+Delete重新启动机器命令修改/etc/inittab文件，将"ca::ctrlaltdel:/sbin/shutdown -t3 -r now"一行注释掉。然后重新设置/etc/rcd/initd/目录下所有文件的许可权限，运行如下命令：# chmod -R 700 /etc/rcd/initd/ 这样便仅有root可以读、写或执行上述所有脚本文件。限制su命令如果您不想任何人能够su作为root，可以编辑/etc/pamd/su文件，增加如下两行：auth sufficient /lib/security/pam_rootokso debug auth required /lib/security/pam_wheelso group=isd 这时，仅isd组的用户可以su作为root。此后，如果您希望用户admin能够su作为root，可以运行如下命令：# usermod -G10 admin 删减登录信息默认情况下，登录提示信息包括Linux发行版、内核版本名和服务器主机名等。对于一台安全性要求较高的机器来说这样泄漏了过多的信息。可以编辑/etc/rcd/rclocal将输出系统信息的如下行注释掉。

国内Linux认证类型详解提供多层次服务方案的拓林思Linux认证介绍作为Linux行业的佼佼者,拓林思推出的TLCE认证是世界上最具有权威性的Linux认证之一

TLCE认证简介TLCE是TurbolinuxCertifiedEngineer的缩写

作为世界知名Linux公司之一，拓林思推出的TLCE认证考试在国际上是Linux认证考试的主流之一

特别是在日本及韩国，获取TLCE证书已成为IT工程师的又一新宠

仅在日本，目前就有TLCE工程师近千名

2000年4月，TLCE认证考试走入中国，截至2001年6月，通过考试的人数已达150人

拓林思认证工程师(TurboLinuxCertifiedEngineer)——真正意义上的网络系统管理员

一名TLCE是一个精通用户管理、系统管理、网络管理等任务的认证工程师

对于个人发展而言，取得TLCE证书，无疑会使你在激烈的IT人才市场上具备更强的竞争力

对于企业选择技术人才而言，TLCE是Linux业界择才的重要标准

TLCE考试介绍考试形式：书面考试,英文标准化试题100道答题时间：120分钟卷面分值:100分通过分值:70分考试内容：TurboLinux用户教程(TUE)——20%TurboLinux系统管理(TSA)——40%TurboLinux网络管理(TNA)——40%考试费用:800

00元(仅限在拓林思教育中心直接进行的笔试,在拓林思认证培训中心举办的TLCE考试另加报名费)考试安排：每周五(上午10:00，下午16:00)，提前半小时到考点办手续(仅限在拓林思教育中心直接进行的笔试)

考试地点：拓林思中国教育培训中心另外，为方便学员分期分科考试，拓林思公司于2001年7月在中国区设立单科结业考试，即学员可以分别参加《Turbolinux用户基础》、《Turbolinux系统管理》、《Turbolinux网络管理》课程考试，在一年内取得相应的3个证书：TLOS,TLSS,TLNS；3个证书的持有者与TLCE具有相同的水平并且同时持有这3个证书的学员可向拓林思中国教育培训中心换取国际认证TLCE证书

详细内容，可到拓林思网站查询

Linux学员情况1

学习前应该具备哪些基本素质不同的课程对学员的要求各不相同

目前，Turbolinux公司开设4门课程，由易到难顺序为：《Turbolinux用户基础》、《Turbolinux系统管理》、《Turbolinux网络管理》、《Turbolinux集群管理》

《Turbolinux用户基础》要求学员：会使用键盘及鼠标

《Turbolinux系统管理》要求学员：系统学习过Turbolinux用户基础的学员/具备工业标准的网络协议知识或UNIX管理经验/本课程非常适合希望了解或应用Linux *** 作系统的MSCE

《Turbolinux网络管理》要求学员：系统学习过《Turbolinux用户基础》及《Turbolinux系统管理》的学员/具备工业标准的网络协议知识的学员/Novell、Microsoft、Cisco、UNIX及Linux管理经验将会大有帮助

《Turbolinux集群管理》要求学员：已经系统学习了Turbolinux用户基础、Turbolinux系统管理、Turbolinux网络管理的学员/已经对Linux系统和相关网络知识(如IP别名、IP隧道)有深刻理解的学员

2

培训Linux之后所具备的能力拓林思认证工程师谙熟Internet原理、精通用户管理、系统管理、网络管理，能够熟练执行网络配置、安全配置、故障排除任务

TLCE不仅能够胜任Linux相关的工作，如果再稍加培训，也很容易转到Unix平台工作

学习红旗，得益于红旗如果说与一家商业公司的研发能力相比，即使Linux创始人是一个超乎寻常的天才，但他个人的能力也是弱小的

与此类似，在全世界所有Linux研发爱好者面前，一个商业公司的研发队伍同样是弱小的

Linux最初版本0

0

2的功能不是很强大，甚至只能完成一些极基本的 *** 作

但是经过爱好者自发的参与和不断的改善，Linux以很短的时间即走入了实用阶段，具备了无比强大的功能

2001年1月4日，Linux的最新内核已经升级到2

4

0

业界目前对Linux在服务器端的地位已经不容置疑，而且随着应用软件的不断丰富，Linux在桌面的应用也开始飞速发展

像KOffice、Hancom、StarOffice等办公套件的推出，Kylix与各种数据库系统开发工具的引入，Linux必将形成燎原之势

红旗Linux认证介绍红旗Linux希望通过与各界合作伙伴的多种合作，为用户提供尽可能多的培训服务，认证服务实际上对任何一家产品公司而言，只是提供给用户一种检测应用能力的服务形式

随着产品的完善和公司品牌的变化，其用户群与服务品质必将发生相应变化

他们的主要目的是希望能有更多的用户学会使用红旗Linux的产品，并得益于它

认证的形式会随红旗的国际化发展而提供相应更广泛的服务，但绝不是冠以一个虚拟的国际方式来误导用户

红旗软件目前推出的常规课程：《红旗Linux桌面应用》；《红旗Linux用户基础》；《红旗Linux系统管理》；《红旗Linux网络管理》

以上课程均配有相应的认证考试服务，详细信息可参看红旗教育网站

其目的是为红旗用户提供一种检测自身应用技能的服务形式，同时红旗还将记录在红旗人才库中，以便广泛的技术合作和为业界提供人才信息

红旗培训会立足于用户的需求，以其完善的教学管理，职业的教学风范、严谨的治学作风、高品质的师资队伍、统一权威的培训教材、评测系统及实力雄厚的技术队伍作为发展的根本

目前红旗培训正在与国内及亚太周边华语地区进行培训特许经营的推广，以期在国内外同时推出具有国际水准的培训课程

培训之后学员能具备哪些能力在桌面课程后应具备红旗Linux桌面应用的常规技能

用户基础课程是为培养用户掌握Linux基础技术而开设，为系统与网络的应用技术的学习作准备

系统管理课程是为培养Linux服务器上的系统管理技术人员而设

网络管理课程是为培养Linux服务器上的网络管理技术人员而设

Linux将来的趋势Linux的出现为社会带来了一种自由、开放的技术研发与传播方式

是在技术垄断越来越严重的今天出现的一缕曙光，用户在 *** 作系统上的应用可以有了自己的选择，并可按用户的实际需求而定制运行

开放的源代码更加利于应用程序开发人员的技术发挥，再也不会出现应用软件的开发受制于垄断商业 *** 作系统的问题

其基于互联网的研发与应用方式，使得全世界数以万计的开发者和爱好者可以非常便利地应用这一技术

客户端设置

客户需要生成密钥对（公共和私有）。 稍后我们会将公钥上传到SSH服务器。

ssh-keygen

生成SSH密钥时，系统将提示您输入密码。 我们建议在此步骤中使用新密码。 这将避免别人使用你的钥匙。

将公钥上传到服务器

现在我们将使用ssh-copy-id命令来上传密钥。 您可以手动将公钥（~/ssh/id_rsapub）附加到服务器上的 ~/ssh/authorized_keys。

ssh-copy-id user@hostname

更安全的SSH设置

此步骤是可选的，但建议禁用密码验证（特别是root用户）打开文件 /etc/ssh/sshd_config 并将PasswordAuthentication更改为“no”值。

PasswordAuthentication no

确保在重新启动SSH服务器之前测试您的ssh密钥验证！

sudo service ssh restart

本文是笔者查阅网上资料做的总结，关于SSH原理，什么是对称加密和非对称加密，本文不过多介绍。这里介绍一下SHH的工作过程、配制方法，可能出现的问题及解决方法。
说明：本文中涉及的例子，SSH客户端为：本地主机A，SSH服务器为：服务器B

SSH协议采用C-S（客户端-服务器端）架构进行双方的身份验证以及数据的加密。
服务器端组件监听指定的端口，负责安全连接的建立、对连接方的身份认证、以及为通过身份认证的用户建立正确的环境。
客户端负责发起最初的TCP握手、安全连接的建立、验证服务器的身份与之前记录中的一致、并将自己的验证信息提供给服务器。
一个SSH会话的建立过程分为两个阶段。第一阶段，双方沟通并同意建立一个加密连接通道以供后续信息传输用。第二阶段，对请求接入的用户进行身份验证以确定服务器端是否要给该用户开放访问权限。

当客户端发起TCP连接时，服务器端返回信息说明自己支持的协议版本，如果客户端上支持的协议与之匹配，则连接继续。服务器会提供自己的公共主机密钥（public host key）以让客户端确认自己访问的是正确的机器。

然后，双方采用一种Diffie-Hellman算法共同为该会话建立密钥。每一方的一部分私有数据，加上来自对方的一部分公共数据，通过这种算法计算，能够得出完全相同的密钥用于本次会话。

整个会话的通讯内容都使用该密钥进行加密。这个阶段使用的公钥/私钥对与用户验证身份用的SSH密钥是完全无关的。

经典Diffie-Hellman算法的计算步骤如下：

这个共享密钥的加密方式被称为二进制数据包协议（binary packet protocol）。该过程能够让双方平等的参与密钥生成的过程，而不是由单方掌握。这种共享密钥生成的过程是安全的，双方没有交换过任何未经加密的信息。

生成的密钥是对称式密钥，一方用于加密信息的密钥等同于另一方用于解密信息的密钥，而任何第三方由于不持有该密钥，是无法解密双方传递的内容的。

会话加密通道建立后，SSH开始进入用户认证阶段。

下一步，服务器验证用户身份以决定是否准许其访问。验证有不同的方式，选择的验证方式取决于服务器的支持。

最简单的验证是密码验证：服务器要求客户端输入密码，客户端输入的密码经过上述的通道加密传输给服务器。

虽然密码是加密过的，然而该方法仍然不被推荐，因为用户经常为了省事而使用过于简单的密码，而这类密码很容易就能够被自动化脚本破解。

最流行的验证方式是SSH密钥对，这也是当前最推荐的方式。SSH密钥对是非对称密钥，私钥和公钥分别用于不同的功能。

公钥用于加密，而私钥用于解密。公钥可以随意上传、共享，因为公钥的流通并不会危及到私钥的保密性。

SSH密钥对的验证过程起始于上一部分加密通道建立之后，其具体执行步骤如下：

简单来说，服务器端用公钥加密信息，客户端用私钥解密信息以证明自己持有私钥。该过程同时使用了对称加密和非对称加密，两种方式各有自己的功用。

命令如下：

用户名：为要登录的服务器B中已存在的用户账户名
IP地址：为服务器B的IP地址
-p 端口号：用来指定端口号，默认为22

第一次登录时，会提示如下提示：

大概意思是说，你正在访问的主机不能验证它的真实性，它的RSA key（当前访问主机的公钥）指纹是怎样的，你确定要继续连接吗？
输入yes继续，会提示，已永久把当前访问主机的RSA key添加到了已知主机文件（用户目录下，ssh 文件夹中的knwon_hosts文件）中。之后再次 SSH 登录就不再有该提示了。
接着，输入登录账户的密码即可。

SSH 密码登录，需要服务器开启密码验证权限，编辑服务器SSH配置命令如下：

在 sshd_config 文件中，Protocol 2 下面 #PasswordAuthentication yes，将前面的#号去掉，保存退出。

公钥登录，即免密码登录。避免的每次登录都要输入的麻烦，也防止了中间人攻击。是SSH远程登录最常用的登录方式。

提示输入密钥对名称，直接回车，使用默认名称即可；
提示输入密码（使用私钥时，要输入密码），直接回车，不使用密码即可。

首先，登录服务器B，在进行下面的 *** 作。

找到 #PubkeyAuthentication yes，删除 #号，保存退出。

重启 ssh 服务

也可指定验证私钥：

本地主机A，生成密钥对后：

sudo vim /etc/selinux/config

1可密码、公私钥认证，实现sftp文件上传下载

2脚本

a显示命令行帮助：pythonsftp_downloaderpy-h

b运行：pythonsftp_downloaderpy-uzhangsan-ppassword-pkmy-openssh-private-key-sfmy-server-list-file-path-srcfthe-file-name-to-be-download-ddthe-file-dir-to-save_vote

c可把b中的命名设置成alias（windows平台我用的Cmder终端，可设置alias），使用就简单了

4脚本说明：

aargparse模块使用接收命令行参数，然后分别设置_vote_tie_follow来区分要下载不同类型的服务器日志与传不同的日志路径

beasylog模块，自己封装的日志模块

cgevent，对文件中的多个服务器地址使用协程来加快下载

dparamiko模块，核心使用，ssh连接认证

e只封装了下载，上传、执行服务器命令等可以自己再扩展

d当前只是为了满足方便使用，有很多地方可以调和纠错，指正。

域名绑定

Tomcat服务绑定域名的方法

ECS Linux系统域名绑定host后ping测试不生效

Nginx绑定多个域名的方法

ECS Linux无法解析hosts里面绑定域名的排查方法

服务器登陆

ECS Linux无法远程连接的检查方法

ECS Linux远程ssh报错read: Connection reset by peer

ECS Linux ssh连接服务器报错CONNECTION RESET by peer

ECS Linux通过Xshell 配置密钥key免密码登录

ECS服务器Linux *** 作系统远程ssh密码错误

ECS Linux SSH服务配置异常导致连接提示bad configuration option错误

ECS Linux系统非root用户登入报“Resource temporarily unavailable”

ECS Linux服务器ssh远程连接需要验证证书

文件权限问题导致Linux ECS服务器SSH连接时输入密码后挂起

ssh登录报错-bash: fork: retry: Resource temporarily unavailable

ECS SSH提示“Disconnected:No supported authentication methods avai

ECS SSH客户端SecureCRT和PuTTY连接超时设置

ECS Linux系统登录提示信息

ECS CentOS系统进入单用户模式的方法

ECS Linux登陆时报错:Your account is Locked Maximum account of fail attempts was reac

ssh 连接提示 The host key database does not contain an entry for the hostname 的处理方法

ECS Linux 服务器通过远程管理终端登陆不显示

ECS Linux 无法 SSH 连接提示 ssh_exchange_identification: read: Connection reset by pee

Linux 无法远程开启 ssh 服务报错/var/empty/sshd must be owned by root and not group or wo

ECS Linux SSH 提示 account is currently not avaiable

ssh配置证书登录

Linux Centos 7 SSH无法连接

ECS Linux环境异常修改/etc/security/limitsconf导致SSH无法登录

ECS Linux服务器ssh登录正常,管理终端登录闪退

Gentoo SSH authentication failure无法远程

root用户被禁止ssh登录，提示pam_listfile(sshd:auth): Refused user root for service ssh

ECS Linux 服务器公钥密钥SSH登录

Linux无法远程

Linux_centos 系统ssh能登陆，远程终端管理无法登陆的排查思路

ECS Linux ssh登录时出现WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!

limitsconf设置错误导致Linux系统ECS无法登陆

ECS Linux ssh host key文件丢失导致无法远程

使用秘钥认证方式远程登录Linux系统

ssh中由于Allowusers配置不当导致密码错误无法远程连接

ECS Linux系统设置只通过sftp连接不能通过ssh方式连接

ECS Linux服务器通过sshd_config限制用户登录的方法

ECS Linux启动sshd服务出现/var/empty/sshd无法访问

ECS Linux因redis自启失败导致系统无法正常启动

ECS Centos卡在启动进度条问题排查方法

ECS Linux服务器ssh连接提示:Too many authentication failures for root

ECS Linux服务器如何 *** 作SSH只对单个IP开放

用户ssh远程报错too many authentication failures for root

ECS Linux系统ssh登录命令行，显示“-bash-41#”，不能显示用户名和主机名

ECS linux结束正在登录的远程终端

Linux云服务器ssh服务启动失败的解决方法

ECS Linux服务器SSH出现报错Host key verification failed

ECS Linux服务器ssh免密码登录另外一台服务器

ECS Centos7系统ssh服务启动失败，导致ssh远程连接不上

ECS Linux服务器ssh禁止root用户登陆导致ssh远程连接失败

ECS Linux sshd重启报错must be owned by root and group or world-writable

禁用了ssh的密码认证方式导致无法登陆

ubuntu如何添加sudo用户且不需要录入密码

centos7下重启sshd服务的 *** 作方法

ECS Ubuntu 1404 64位系统管理终端实现图形化界面

Xshell或Putty连接Linux无法正常显示中文

ECS SSH客户端断开后保持进程继续运行

ECS RedHat Linux 配置SELinux导致SSH无法远程登录

ECS Linux服务器启动后立即关机

ECS Linux系统无法SSH免密码登陆

ECS Linux无法登陆module is unknown

ECS Linux服务器登录报错UNEXPECTED INCONSISTENCY;RUN fsck MANUALLY

ECS Linux服务器重启后卡在引导界面解决方法

ECS Linux服务器SSH权限错误导致无法远程处理

/etc/pamd/login中的无效配置导致ECS Linux登录失败

Linux服务器ssh远程连接提示Could not chdir to home directory解决方法

ECS Linux服务器root用户无法ssh远程登陆处理

ECS Linux 服务器解除ssh登陆后被锁定或暂停输入输出的终端

ECS linux服务器通过hostsallow和hostsdeny限制远程登录IP

ECS Linux系统sshd服务自动停止

ECS Linux系统sshd服务所需要的目录权限

ECS Linux服务器客户端登录失败系统提示welcome to emergency mode! after logging in type

服务器RSA Hash信息变化导致SSH登录出现Host key verification failed错误

ECS Linux系统重置后SSH无法连接的解决方法

ECS Linux 系统限制用户登陆方法

ECS SSH无法登陆提示 Did not receive identification string from IP,Read from sock faile

ECS Linux上SSH服务无法启动报错must be owned by root

ECS Linux文件系统挂载错误导致SSH无法远程连接

ECS Linux误修改系统目录属组引发SSH服务异常导致无法远程登录

ECS ssh无法登陆，提示fatal: No supported key exchange algorithms [preauth]

ECS Linux su切换用户时提示无法设置用户ID资源暂时不可用

ECS Linux安装启用NetworkManager服务导致无法远程连接

ECS Linux系统修改grubconf进入单用户方法

ssh 登陆服务器出现 Host key verification failed 告警

---