一 用户帐号安全
1--设置帐号有效期
chage -l lisi //查看lisi用户的有效信息
chage -d 0 lisi //下次登陆必须更改密码
chage -E 2020-5-14 lisi //设置密码有效期
chage -E -1 lisi // -1 取消密码有效期
2--伪装登陆提示
vim /etc/issue //修改里面的内容,改为什么,界面则显示什么
3--锁定文件
- # chattr +i 文件名 //锁定文件(无法修改、删除等)
- # chattr -i 文件名 //解锁文件
- # chattr +a 文件名 //锁定后文件仅可追加 不可以删除 只能使用 >> 重定向 不能使用vim进行追加
- # chattr -a 文件名 //解锁文件
- # lsattr 文件名 //查看文件特殊属性
4--帐号的锁定
01. passwd -l lisi //锁定帐号
02. passwd -S lisi //查看状态status
03. passwd -u lisi //解锁帐号
二 用户切换与提权
1--使用su命令切换用户
- # su – [账户名称]
- # su - [账户名称] -c '命令'
- su - zhangsan -c 'mkdir /home/zhangsan/tmp'
- ls -ld /home/zhangsan/tmp/
- drwxrwxr-x. 2 zhangsan zhangsan 6 5月 15 02:39 /home/zhangsan/tmp/
1--sudo提升执行权限
- sudo -l //查看自己的sudo授权
- [root@svr5 ~]# vim /etc/sudoers //修改文件后,需要使用wq强制保存 root用户身份修改
- root ALL=(ALL) ALL //93行为lisi添加创建用户以及改密码权限
lisi ALL=(root) /usr/sbin/useradd,/usr/bin/passwd,!/usr/bin/passwd root,/usr/sbin/user* - elk ALL=(root) NOPASSWD: ALL,!/usr/bin/passwd, !/usr/bin/passwd root, !/usr/bin/passwd root --stdin
- [lisi@proxy ~]$ sudo /usr/sbin/useradd dc //lisi用户创建用户dc
- [lisi@proxy ~]$ echo 123456 |sudo /usr/bin/passwd --stdin dc //lisi用户为dc改密码
- [lisi@proxy ~]$ sudo passwd dc
- [lisi@proxy ~]$ sudo passwd root
对不起,用户 lisi 无权以 root 的身份在 proxy 上执行 /bin/passwd root。 //设置 !/usr/bin/passwd root 不允许更改root密码 - [root@proxy ~]# vim /etc/sudoers
- %wheel ALL=(ALL) /bin/* //wheel组下的用户可以执行/bin/下的操作
- [root@proxy ~]# usermod -G wheel zhangsan //把zhangsan用户添加到wheel组
- [root@proxy ~]# grep wheel /etc/group
wheel:x:10:zhangsan //wheel组下有zhangsan这个用户 - [zhangsan@proxy ~]$ sudo passwd lisi //用zhangsan用户更改lisi用户的密码
三 SSH访问控制
1-- 配置文件 /etc/ssh/sshd_config
- [root@proxy ~]# vim /etc/ssh/sshd_config //在服务器主机proxy ip 192.168.4.5更改配置文件
-
Port 12200 //端口默认为22改为12200
protocol 2 //去掉SSH协议v1
#AddressFamily anyListenAddress 192.168.4.5 //客户机只能ssh远程到本机192.168.4.5的
LoginGraceTime 2m //登陆时间最长期限 如果2分钟未输入密码则跳出
PermitRootLogin no //禁止root用户登陆
MaxAuthTries 3 //最大失败次数为3
#PermitEmptyPasswords no //禁止空密码登陆
PasswordAuthentication yes //接收密钥登陆 - [root@client ~]# ssh 192.168.4.5 //client主机ip为192.168.4.100
ssh: connect to host 192.168.4.5 port 22: Connection refused //ssh远程无法连接到192.168.4.5 - [root@client ~]# ssh 192.168.4.5 -p 12200 //指定使用12200ssh远程192.168.4.5
2-- 实现密钥免密码登陆
- [root@client ~]# ssh-keygen //生成密钥
- [root@client ~]# ssh-copy-id 192.168.4.5 //把公钥传给192.168.4.5后可以实现登陆免密钥
3--sshd白名单配置
- [root@proxy~]# vim /etc/ssh/sshd_config //在服务端proxy192.168.4.5主机上
- AllowUsers lisi zhangsan@192.168.4.100 //允许lisi 在任何客户端登陆,zhangsan只能在192.168.4.100登陆