目录
一、账号安全控制
1、账号安全基本措施
▶系统账号清理
1、将非登录用户的shell设为/sbin/nologin
使用命令:
grep “/sbin/nologin$” /etc/passwd
usermod -s /sbin/nologin 用户名 #设置为非登录用户账号
usermod -s /bin/bash 用户名 #设置为登录用户账号
2、锁定长期不使用账号
●锁定:
usermod -L 用户名 #锁定用户账号方法一
passwd -l 用户名 #锁定用户账号方法二
(usermod的密码一个感叹号、passwd有两个感叹号)
●解锁:
usermod -U 用户名 #解锁用户账号方法一
passwd -u 用户名 #解锁用户账号方法二
(passwd -S 用户名 #查看)
(passwd -d 用户名 #清空用户的密码)
3、删除无用的账号
userdel -r 用户名
4、锁定账号文件passw、shadow
chattr +i /etc/passwd /etc/shadow #锁定账号文件passw、shadow
(-i为解锁)
lsattr /etc/passwd /etc/shadow #查看文件是否锁定
----i----------- /etc/passwd
----i----------- /etc/shadow
注:
①如果锁定passwd,没有锁定shadow,可以修改之前的用户密码。
②如果锁定shadow,没有锁定passwd,无法创建用户。
③两者只要有一个被锁定,就无法创建新用户。
▶密码安全控制
1、设置密码有效期
2、要求用户下次登录时修改密码
●chage
chage -M 天数 用户名 # 设置用户密码有效期
chage -E xxxx-xx-xx #设置过期日期
chage -d 0 用户名 #强制在下次登录时更改密码
●vim /etc/login.defs
PASS_MAX_DAYS 30 #修改密码有效期为30天,之后新建用户都是如此
PASS_MIN_LEN 18 #生产上我们密码最少要18位
▶命令历史限制
1、减少记录的命令条数
2、注销时自动清空命令历史
vim /etc/profile #修改历史缓存数为200
HISTSIZE=200
source /etc/profile #刷新
补充:
1、用户登录–>先加载~/.bash_profile --> 然后是bash_profile中的配置(首先是使~/.bashrc生效)。
2、用户登出–>直接运行.bash_logout运行logout配置文件。
方法一:可在普通用户中
vim ~/.bash_logout #登出时自动清除
history -c
clear
方法二:在root中
vim .bashrc