生成MD5密码
写入配置文件
目录
1 3
启动安全设置 帐户安全设置 系统安全设置 日志安全设置
2
3 4
帐户安全设置
嵌入式认证模块---PAM介绍
PAM（Pluggable Authentication Modules ）是由Sun提出的一种认证 机制。它通过提供一些动态链接库和一套统一的API，将系统提供的 服务和该服务的认证方式分开，使得系统管理员可以灵活地根据需要 给不同的服务配置不同的认证方式而无需更改服务程序，同时也便于 向系统中添加新的认证手段。 PAM最初是集成在Solaris中，目前已移植到其它系统中，如Linux、 SunOS、HP-UX 9.0等。

帐户安全设置
PAM的配置

/etc/pam.d/目录下的每个文件的名字对应服务名 例如ftp服务对应文件/etc/pam.d/ftp 如果名为xxxx的服务所对应的配置文件 /etc/pam.d/xxxx不 存 在，则该服务将使用默认的配置文件/etc/pam.d/other

帐户安全设置
PAM的配置
帐户安全设置
嵌入式认证模块---PAM介绍
帐户安全设置
PAM支持的四种管理方式



认证管理（authentication management） 主要是接受用户名和密码，进而对该用户的密码进行认证， 并负责设置用户的一些秘密信息。 帐户管理（account management） 主要是检查帐户是否被允许登录系统，帐号是否已经过期， 帐号的登录是否有时间段的限制等等。 密码管理（password management） 主要是用来修改用户的密码。 会话管理（session management） 主要是提供对会话的管理和记账（accounting）。
LINUX系统的安全加固
中国科技网网络中心 安全部 高鹏
中国科学院计算机网络信息中心 中国科技网网络中心 All rights reserved
前言
Linux系统凭借其稳定且源代码公开的特性，在互 联网络上的应用已经越来越多。 当前，随着各式网络攻击、病毒威胁的不断增多， Linux系统的安全性也被愈发重视。因此，Linux系统 的加固已成为网络管理员、普通用户迫在眉睫所需进 行的工作。
帐户安全设置
PAM的配置 control-flag 的四种取值
required：表示即使某个模块对用户的验证失败，也要等所有的模块都执行完毕， PAM才返回错误信息。这样做是为了不让用户知道被哪个模块拒绝。如果对用户 验证成功，所有的模块都会返回成功信息。 requisite：如果特定的模块对用户的验证失败，PAM马上返回一个错误信息，把 控制权交回应用程序，不再执行其他模块进行验证。 sufficient：表示如果一个用户通过这个模块的验证，PAM结构就立刻返回验证 成功信息，把控制权交回应用程序。后面的层叠模块即使使用requisite或者 required控制标志，也不再执行。如果验证失败，sufficient的作用和optional相同。 optional：表示即使本行指定的模块验证失败，也允许用户享受应用程序提供的 服务。使用这个标志，PAM框架会忽略这个模块产生的验证错误，继续顺序执行 下一个层叠模块。
启动安全设置
LILO引导单用户模式的口令设置
添加密码
编辑配置文件 lilo.conf(vim /etc/lilo.conf ) 防止 root 误操作，可使 /etc/lilo.conf 文件 因为 /etc/lilo.conf文件中包含明文密码 属性变为不可改，并更新 LILO。 所以要把它设置成root权限读取。
启动安全设置
LILO引导、GRUB引导的单用户模式
引导启动后出现boot:提示时，使用一个特殊的 命令，如 linuxsingle或linux 1，就能进入Linux单用 户模式（Single-User mode）。 单用户模式的用户拥有root权限，其进入系统后， 可编辑/etc/passwd 文件，去掉root一行中的x 即可 在下次登录时无需密码使用root帐户。
帐户安全设置
PAM的文件

/usr/lib/libpam.so.* PAM核心库 /etc/pam.d/ PAM配置文件


/lib/security/pam_*.so 可动态加载的PAM服务模块
Pam_unix.so 该模块的主要功能是禁止为密码为空的用户提供服务 Pam_permit.so 总是无条件地使认证成功 Pam_deny.so 总是无条件地使认证失败,通常该模块被用来作为缺省的验证规则 Pam_cracklib.so 该模块对用户密码提供强健性检测
目录
1 3
启动安全设置 帐户安全设置 系统安全设置 日志安全设置
2
3 4
启动安全设置
LILO引导
LILO安装命令（/sbin/lilo）读取其配置文件（/etc/lilo.conf）,按照 其中的参数将特定的LILO写入系统引导区。
GRUB引导
它允许位于主引导记录区中特定的指令来装载一个GRUB菜单或是 GRUB的命令环境。这使得用户能够开始操作系统的选择，在内核引 导时传递特定指令给内核，或是在内核引导前确定一些系统参数。





每个文件由如下格式的文本行所构成： module-type control-flag module-path arguments module-type 模块类型有四种：auth、account、session、password， 即对应PAM所支持的四种管理方式。同一个服务可以调用多个 PAM 模块进行认证，这些模块构成一个stack。 control-flag 用来告诉PAM库该如何处理与该服务相关的PAM模块的 成功或失败情况。它有四种可能的值：required，requisite， sufficient，optional。 module-path 用来指明本模块对应的程序文件的路径名，一般采用绝 对路径，如果没有给出绝对路径，默认该文件在目录/usr/lib/security 下 面。 arguments 是用来传递给该模块的参数
设置权限
## chatter /etc/lilo.conf chmod+i 600 /etc/lilo.conf # /sbin/lilo -vຫໍສະໝຸດ 改变属性启动安全设置
Grub引导的口令设置
进入GRUB编辑模式
将加密的密码添加到 启动系统后出现 /boot/grub/grub.conf GRUB引导画面 输入md5crypt ，按<C> 键进入命令行方式 中的password 一行