Linux服务器账户与身份认证安全闭环管理需覆盖创建、使用、审计、注销全生命周期,遵循最小权限、全程可控、动态验证、及时响应原则,强化密钥认证、多因素验证、会话管控及实时日志审计与告警。
Linux服务器账户与身份认证的安全闭环管理,核心在于“最小权限、全程可控、动态验证、及时响应”。不是单纯设强密码或禁用root,而是让每个账户从创建、使用、审计到注销的全生命周期都处于策略约束和行为监控之下。
账户创建与权限分配:严格遵循最小权限原则
新用户必须基于角色申请,禁止直接赋予sudo或root权限。生产环境默认禁用密码登录,仅允许密钥认证;若必须启用密码,则强制开启PAM模块(如pam_pwquality)限制复杂度与重用周期。
- 使用adduser --gecos "" --disabled-password创建无密码账户,后续通过ssh-copy-id注入公钥
- sudo权限通过独立group(如deploy、backup)控制,在/etc/sudoers.d/中按需配置,禁用NOPASSWD: ALL
- 临时提权统一走sudo -i -u target_user,不共享主账户凭证
身份认证加固:多因素+会话生命周期管控
SSH层启用证书签发机制(如OpenSSH CA),替代长期有效的用户密钥;对高敏系统叠加TOTP(如Google Authenticator)或FIDO2硬件令牌。所有交互式登录强制绑定IP白名单与时间窗口(通过PAM time.so限制工作时段)。
- 在/etc/ssh/sshd_config中启用AuthenticationMethods publickey,keyboard-interactive
- 设置MaxSessions 1和ClientAliveInterval 300,自动中断闲置连接
- 禁用PermitRootLogin no、PasswordAuthentication no、AllowTcpForwarding no
行为审计与异常响应:日志归集+实时告警
将/var/log/auth.log、journalctl -u sshd及sudo命令记录(Defaults logfile)统一推送至SIEM平台。配置fail2ban规则匹配暴力破解、重复失败登录、非工作时间访问等模式,触发自动封禁与企业微信/钉钉告警。
- 启用auditd监控关键文件(/etc/passwd、/etc/shadow、/etc/sudoers),记录UID变更与特权执行
- 对sudo操作启用Defaults log_input,log_output,保存I/O流至/var/log/sudo-io/
- 每日校验账户列表(getent passwd | awk -F: '$3>=1000 && $3),比对CMDB基线,自动标记游离账户
账户生命周期自动化:到期停用+一键清理
所有账户创建时必须指定--expiredate(如30天后过期),并写入LDAP或本地shadow字段。对接运维平台实现“申请-审批-开通-到期提醒-自动锁定-人工确认注销”流程闭环。离职或调岗人员账户24小时内冻结,72小时内完成密钥吊销与日志归档。
- 用chage -E $(date -d "+30 days" +%Y-%m-%d) username设定有效期
- 定时任务检查chage -l username | grep "Password expires",提前3天邮件通知用户续期
- 冻结账户执行usermod -L -e 1 username,彻底删除前先deluser --remove-home并清空.ssh/authorized_keys
