一、账号安全控制
1.1、账号安全基本措施
1.1.1、系统帐号清理
以 tom账号为例
- 将非登录用户的Shell设为/sbin/nologin
原来tom为普通用户,shell环境为/bin/bash,可以登录系统
[root@localhost ~]# usermod tom -s /sbin/nologin
[root@localhost ~]# tail -1 /etc/passwd
tom:x:1001:1001::/home/tom:/sbin/nologin ####可以看到shell环境变了
在开一个终端,用tom账号连,连不上
- 锁定长期不使用的账号
第一种:有交互信息
[root@localhost ~]# passwd -l tom
锁定用户 tom 的密码 。
passwd: 操作成功
[root@localhost ~]# passwd -u tom
解锁用户 tom 的密码。
passwd: 操作成功
第二种:无交互信息
[root@localhost ~]# usermod -L tom
[root@localhost ~]# usermod -U tom
- 删除无用的账号
[root@localhost ~]# cd /home/
[root@localhost home]# ll
总用量 0
drwx------. 3 tom tom 78 11月 2 18:45 tom
drwx------. 3 yang yang 78 10月 28 15:35 yang
[root@localhost home]# userdel -r tom ####删除tom账号
[root@localhost home]# ll #####看一下,没有了
总用量 0
drwx------. 3 yang yang 78 10月 28 15:35 yang
- 锁定账号文件passwd、shadow
[root@localhost ~]# chattr +i /etc/passwd /etc/shadow ##加锁
[root@localhost ~]# lsattr /etc/passwd /etc/shadow
----i----------- /etc/passwd ##有i
----i----------- /etc/shadow
尝试进文件修改,提示为只读,锁定了
[root@localhost ~]# chattr -i /etc/passwd /etc/shadow ###减锁
[root@localhost ~]# lsattr /etc/passwd /etc/shadow
---------------- /etc/passwd 没有i
---------------- /etc/shadow
1.1.2、密码安全控制
- 设置密码有效期
- 要求用户下次登录时修改密码
[root@localhost ~]# vi /etc/login.defs 适用于新建用户
PASS MAX DAYS 30
[root@localhost ~]# chage -M 30 lisi ## 适用于已有用户
[root@localhost ~]# chage -d 0 zhangsan ##强制在下次登录时更改密码
新建用户更改密码有效期:
1、进入 vi /etc/login.defs
2、找到下面这句话 ,把数值改为30(就是有效期为30天)
3、新建zhaosi用户 并设置密码
4、这时候 vi /etc/shadow 查看新建的zhasoi用户的密码有效期已经改好了
已有用户更改密码有效期:
1、更改已有用户 yang 的密码有效期为30天
[root@localhost ~]# chage -M 30 yang
[root@localhost ~]# cat /etc/shadow
2、查看
强制指定用户在下次登录时更改密码
[root@localhost ~]# chage -d 0 yang
下次登录改密码的时候要把密码弄复杂点,否则很难通过密码安全检查
如果要取消强制登陆,直接进入vi编辑器直接更改成原来的参数
1.1.3、命令历史限制
- 减少记录的命令条数
- 注销时自动清空命令历史
修改历史命令数量的限制
方法一:
1、进入vi /etc/profile 里面直接改里面的参数,从而达到修改历史命令数量的限制
[root@localhost ~]# vi /etc/profile
2、 /HIST 进行搜索,会跳到这个地方,然后i修改一下参数,修改成60条
3、刷新一下
source /etc/profile