1. 安全设置
禁用或删除无用账户
userdel 用户名 删除账号
passwd -l 用户名 锁定账号
passwd -u 用户名 解锁账号
useradd 用户名
cat /etc/passwd
cat /etc/shadow
密码位两个叹号表示无密码且账户锁定
两个叹号+加密密码表示有密码但锁定
passwd 用户名 设密码
passwd 默认给当前用户设置密码
ls /home/ 会显示账户目录
userdel -r 用户名 会删除账户及目录
检查特殊账号
查看空口令账号
awk -F: '($2=="")' /etc/shadow
查看UID为0的账号 0-199为系统预留
awk -F: '($3=="0")' /etc/passwd 正常只有root
添加口令策略
vi /etc/login.defsf
PASS_MAX_DAYS 30 30天后必须改密码
PASS_MIN_LEN 5 密码最短长度
PASS_WARN_AGE 7 密码到期前7天警告
UID_MIN 1000 创建的普通用户最小UID
UMASK 077 默认缺少的权限
chage命令修改用户设置
chage -m 0 -M 30 -E 2000-01-01 -w 7 用户名
-m 最小几天可改
-M 最多几天必须改
-E 到期
-W 警告
设置用户锁定
vim /etc/pam.d/system-auth
设定输入密码有6次机会,锁定时间300秒
auth required pam_tally.so onerr=fail deny=6 unlock_time=300
限制用户su
vi /etc/pam.d/su
允许test组su到root
auth required pam_wheel.so group=test
关闭不必要的服务
chkconfig --level <init级别> <服务名> on|off|reset
ntsysv 类图形界面管理模式
ssh
vim /etc/ssh/sshd_config
修改默认端口
禁止root用户远程登录
PermitRootLogin no
禁止空密码用户登录
PermitEmptyPasswords no
PermitAuthentication yes
限制密码输入次数
MaxAuthTries
设置umask
vim /etc/profile
if UID>199
umask 002
else umask 077
修改后使生效
. /etc/profile 或
source /etc/profile
登陆超时
vim /etc/profile
TMOUT=180
无操作3min则断开