本章目录
一.账号安全控制
1.1 系统账号清理
- 将非登录用户的shell设为/sbin/nologin
- 锁定长期不使用的账号
- 删除无用的账号
- 锁定账号文件passwd,shadow
为了确保系统安全,这些用户的登录shell通常是/sbin/nologin,表示禁止终端登录,应确保不被人为改动
- grep “/sbin/nologin$” /etc/passwd ‘#查看非登录用户’
- grep “bash$” /etc/passwd ‘查看当前可以登录的用户’
- 锁定长期不使用的账号
对于长期不用的用户账号,若无法确定是否删除,可以暂时将其锁定,(passwd,usermod命令都可以用来锁定和解锁账号)
passwd -l lisi (或者 usermod -L lisi ) ‘#锁定用户lisi’
锁定用户 lisi 的密码 。
usermod -U lisi (或者 passwd -u lisi) ‘#解锁用户lisi’
passwd -S lisi ‘#查看账号状态’
-
删除无用的账号
在非登录用户中,还有一部分是很少用到的,如news,uucp,games,gopher等,这些用户可视为冗余账号,可以直接删除。 -
锁定账号文件passwd,shadow
如果服务器中的用户账号已经固定,不在进行更改,还可以采取锁定账号配置文件的方法
使用chattr命令,分别结合“+i”“-i”选项来锁定,解锁文件,使用lsattr命令可以查看文件锁定情况
chattr命令基本格式
chattr +i [目标文件] ‘锁定目标文件’
chattr -i [目标文件] ‘解锁目标文件’
lsattr [目标文件] ‘查看目标文件’
例如
chattr +i /etc/passwd /etc/shadow ‘锁定目标文件’
lsattr /etc/passwd /etc/shadow ‘查看目标文件是否被锁定’
chattr -i /etc/passwd /etc/shadow ‘解锁目标文件’
lsattr /etc/passwd /etc/shadow ‘查看目标文件是否解锁’