安全永不过时
锁定/解锁:账户必须要usermod和passwd一起锁,才能不会登录。管理员可以切回普通用户,普通用户之间不能随意切换
[root@localhost ~]# usermod -L cao 锁定账户
[root@localhost ~]# usermod -U cao 解锁账户
[root@localhost ~]# passwd -l cao 锁定账户
[root@localhost ~]# passwd -u cao 解锁账户
锁定账号文件(如passwd,shadow等)
chattr:锁定账号文件。例如passwd、shadow、fstab之类的文件需要上锁。
lsattr /etc/passwd /etc/shadow 查看文件状态
chattr +i /etc/passwd /etc/shadow 锁定文件。锁定文件会显示i。
chattr -i /etc/passwd /etc/shadow 解锁文件
修改账户最大使用期限
vim /etc/login.defs 修改新用户的密码有效期为30天
PASS_MAX_DAYS 30即可
注:这个只针对新建用户,已存在的用户没用。
修改已有账户的密码有效期
chage -M 7 ky30 即可
也可以chage -d 0 ky30
强制下次登录时修改密码。
查看命令历史的限制
history -c 临时清除记录,重启后还原
临时修改当前用户的历史命令限制,刷新一下即可
永久修改当前用户的历史命令条数
vim /etc/profile
HISTSIZE=10
找到该命令行进行修改
source /etc/profile 刷新文件,立即生效
退出时命令清除:vim .bash_logout
source .bash_logout 刷新一下
开机时命令清除:vim .bashrc
同样输入echo " ">~/.bash_history
source .bashrc刷新一下
设置超时登录
vim /etc/profile
输入TMOUT=600 这里指600秒
source /etc/profile刷新一下即可
限制su命令的用户:限制用户登录。
将允许使用su命令的用户加入wheel用户中,只有wheel组中的用户可以使用su命令
vim /etc/pam.d/su 编辑配置文件,将auth required pam_wheel.so use_uid取消注释
gpasswd -a cao wheel将想要登录的用户加入wheel组。即可
PAM安全认证
第一列:type类型 第二列:control控制位 第三列:PAM模块
type类型:
auth 用户身份认证
account 帐户的有效性,与账号管理相关的非认证类的功能,如:用来限制/允许用户对某个服务的访问时间,限制用户的位置(例如:root用户只能从控制台登录)
password 用户修改密码时密码复杂度检查机制等功能
session 用户会话期间的控制,如:最多打开的文件数,最多的进程数等
type 表示因为缺失而不能加载的模块将不记录到系统日志,对于那些不总是安装在系统上的模块有用
control:(控制位)
required:一票否决,一旦失败,继续执行,直到执行完毕后返回信息:失败原因
requisite:一票否决,一旦失败,立即返回
sufficient:一票通过,只要成功立即返回,其他不重要失败了也没有关系
限制sudo命令。
在普通用户下,输入指令前加上sudo就可使用管理员才能使用的权限,可以通过更改配置文件来达到限制的目的
vim etc/sudoers找到%wheel ALL=(ALL)和%wheel ALL=(ALL) NOPASSWD:ALL注释掉,然后在地行输入ky30 ALL=(root)如果后面加上ALL就相当于给了所有权限如果输入/sbin/ifconfig,/sbin/passwd代表只可以使用ifconfig和passwd指令多个指令用“,”隔开即可开