一.账号安全控制
1.系统账号清理
-
将非登录用户的Shell设为/sbin/nologin usermod-s /sbin/nologin 用户名
-
锁定长期不使用的账号
sermod-L 用户名
passwd -S 用户名
passwd-l 用户名 -
删除无用的账号
userdel [-r] 用户名 -
锁定账号文件passwd、shadow
chattr +i /etc/passwd /etc/shadow (锁定文件)
lsattr /etc/passwd /etc/shadow (查看状态)
chattr -i /etc/passwd /etc/shadow (解锁文件)
2.密码安全控制
设置密码有效期 密码有效期过期后要求用户下次登陆时修改密码
将密码有效期修改为60天
chaged -0后用户下次登陆需要立即修改密码
3.账号命令历史限制
减少命令条数:
清空历史命令:
history -c 临时清空
永久清空:
二.su命令切换用户
root用户-->任意用户 不验证密码 普通用户-->其他用户 验证密码
取消权限后(取消权限使用vim /etc/pam.d/su操作)
重新获取权限需将用户加入到wheel组中
三.PAM安全认证
PAM认证的构成
sudo提权命令
示例:
此时zhangsan用户没有修改网卡配置的权限
提升权限后其他用户也可以使用部分root用户的权限