目录
一、账号安全控制
1.1基本安全措施
1.1.1系统账号的清理
1.1.1.1将非登录用户的Shell设为/sbin/nologin
-
在我们使用Linux系统时,除了用户创建的账号之外,还会产生系统或程序安装过程中产生的许多其他账号,除了超级用户root外,其他账号都是用来维护系统运作的,一般不允许登录,常见的非登录用户有bin、adm、mail、lp、nobody、ftp等。
-
usermod -s /sbin/nologin 用户名
1.1.1.2锁定长期不使用的账号
[root@localhost ~]# usermod -L test2 锁定用户账号方法一 [root@localhost ~]# passwd -l test3 锁定用户账号方法二 [root@localhost ~]# usermod -U test2 解锁用户账号方法一 [root@localhost ~]# passwd -u test3 解锁用户账号方法二
1.1.1.3删除无用账号
[root@localhost ~]# userdel test1 [root@localhost ~]# userdel -r test2
1.1.1.4锁定账号文件passwd、shadow
[root@localhost ~]# chattr +i /etc/passwd /etc/shadow 锁定文件,包括root也无法修改 [root@localhost ~]# chattr -i /etc/passwd /etc/shadow 解锁文件 [root@localhost ~]# lsattr /etc/passwd /etc/shadow查看文件状态属性
1.1.2密码安全控制
1.1.2.1设置密码有效期
1.[root@localhost ~]# chage -M 60 test3 这种方法适合修改已经存在的用户1 2.[root@localhost ~]# vim /etc/login.defs 这种适合以后添加新用户, PASS_MAX_DAYS 30
1.
2.
1.1.2.2要求用户下次登录时修改密码
[root@localhost ~]# chage -d 0 test6 强制要求用户下次登陆时修改密码
1.1.3命令历史、自动注销
1.1.3.1命令历史限制
-
减少记录命令的条数
-
注销时自动情况命令历史
减少记录命令的条数: 1.[root@localhost ~]# vim /etc/profile 进入配置文件修改限制命令条数。适合新用户 HISTSIZE=200 修改限制命令为200条,系统默认是1000条profile [root@localhost ~]# source /etc/ 刷新配置文件,使文件立即生效 2.[root@localhost ~]# export HISTSIZE=200 适用于当前用户 [root@localhost ~]# source /etc/profile [root@localhost ~]# source /etc/profile 刷新配置文件,使文件立即生效 3. 注销时自动清空命令: [root@localhost ~]# vim ~/.bashrc echo "" > ~/.bash_history
1.
2.
3.
1.1.3.2终端自动注销
闲置600秒后自动注销: [root@localhost ~]#vim .bash_profile 进入配置文件 export TMOUT=60 全局声明超过60秒闲置后自动注销终端 [root@localhost ~]# source .bash_profile [root@loc