目录
(二)、PAM(Pluggable Authentication Modules)可插拔式认证模块
(三)、在 /etc/pam.d/su 文件里设置禁止用户使用su命令
一、账号安全基本措施
(一)、系统账号清理
1、将非登录用户的 Shell 设为 /sbin/nologin
usermod -s /sbin/nologin 用户名 -------禁止用户登陆系统
2、锁定长期不使用的账号
usermod -L 用户名 --------锁定用户账号
passwd -l 用户名 --------锁定用户密码
passwd -S 用户名 -------查看用户账号是否被锁定
3、删除无用的账号
userdel -r 用户名 -------添加 -r 选项时,表示连用户的宿主目录一并删除
4、锁定账号文件passwd、 shadow
chattr +i /etc/passwd /etc/shadow -----锁定文件
Isattr /etc/passwd /etc/shadow -----查看文件状态
chattr -i /etc/passwd /etc/shadow -----解锁文件
当将passwd 和 shadow 锁定以后,就不能再创建用户和更改原有用户的密码了
当使用 chattr -i /etc/passwd /etc/shadow 命令解锁以后就可以正常操作了
(二)、密码安全控制
1、设置密码有效期
(1)、修改已有用户的密码有效期:chage -M 30 gcc
(2)、修改新用户的密码有效期:vim /etc/login.defs
(3)、设置用户的密码失效日期:usermod -e 日期[yyyy-mm-dd格式] 用户 或 useradd -e 日期[yyyy-mm-dd格式] 用户
2、要求用户下次登录时修改密码:chage -d 0 用户
chage -M 是用来设置密码最大有效期的
如果想要设置还未创建,但是将会创建的新的用户的密码有效期,就需要使用 vim /etc/login.defs 命令,然后更改 PASS_MAK_DAYS 的有效天数,默认是99999
(三)、命令历史限制
1、减少记录的命令条数
[root@localhost -]# vim /etc/profile
HISSIZE=200 #在最后加上该句命令,意思是限制最多看200条历史命令记录
[root@localhost ~]# source /etc/profile #重新加载
2、登录时自动清空命令历史
~/.bashrc 文件中的命令会在每次打开新的 bash shell 时(也包括登录系统)被执行
vim ~/.bashrc #编辑~/。bashrc文件
echo " " > ~/.bash_history #在最后一行输入该命令。该命令意思是在每次登录时将" "重新定义到~/.bashrc文件中
减少历史记录的命令条数为20条
设置登录时自动清空命令历史。将命令写入配置文件中,然后每次重启以后就会将之前的命令历史记录全部清空。
(四)、终端自动注销
1、闲置600秒后自动注销
[root@localhost ~]# vim /etc/profile
export TMOUT=600
[root@localhost ~]# source /etc/profile (永久生效)
[root@localhost ~]#export TMOUT=600 (临时生效)
二、使用su命令切换用户
(一)、用途及用法
1、用途: Substitute User,切换用户
2、格式: su - 目标用户
(二)、密码验证
1、root→任意用户,不验证密码
2、普通用户→其他用户,验证目标用户的密码
su - root #带 - 选项表示将使用目标用户的登录Shell环境,登录shell环境之后就可以使用该用户的~/.bashrc配置文件
口令:
whoami
root
(三)、限制使用su命令的用户
1、将允许使用su命令的用户加入wheel组
gpasswd -a wangwu wheel
2、启用pam_wheel认证模块
vim /etc/pam.d/su #pam.d是个认证模块
......
#auth required pam_wheel.so use_uid
3、查看加入wheel 组的用户有哪些
grep wheel /etc/group
创建新用户wanger ,将wanger 加入到wheel 组中,然后编辑 /etc/pam.d/su 这个文件
进入之后将方框中的“#”去掉
设置完以后发现只有加入了wheel 之后的用户才可以进入root用户
使用 grep wheel /etc/group 来查看加入到wheel 组的用户有哪些
(四)、查看su操作记录
1、查看安全日志文件: cat /var/log/secure