目录
一、账号安全控制
1、系统账号清理
① 将非登录用户的shell设为/sbin/nologin useradd -s /sbin/nologin xiao 禁止xiao用户远程登录
②锁定长期不使用的账号 passwd -l xiao 锁定xiao用户密码
③删除无用的账号 userdel -r xiao
④锁定账号文件
锁定和解锁文件命令(chattr +i chattr -i )查看文件是否锁定命令(lsattr)
锁定账号文件 passwd shadow
锁定之后,无法对文件进行任何修改,包括删除,只能查看文件内容
2、密码安全控制
①设置密码有效期 chage -M 10 xiao 10天后修改密码
②要求用户下次登录时修改密码 chage -d 0 xiao 强制在下一次登录时更换密码
③还有一种可以修改配置文件的内容。
可以进入配置文件 /etc/login.defs 进行修改,修改之后以后创建的用户都会按照文件配置内容进行执行
3、命令历史限制
第一种方法 ①减少历史命令记录的命令条数 永久修改 vim /etc/profile
② 在vim中输入:/HISTSIZE 修改历史命令只显示10条
③ 刷新配置文件并查看历史命令 (source)
第二种方法 家目录中(cd ~) vim .bash_profile 修改配置文字
修改后刷新 source .bash_profile
4、清空历史命令
第一种方法 history -c 临时清空历史命令 清空历史缓存
第二种方法 退出时自动清空历史命令
第三种方法 家目录中 vi .bash_history 全部清空
5、终端自动注销
vim /etc/profile 输入 export TMOUT=20 20s不动自动退出终端
修改后刷新配置文件 source /etc/profile
6、通过pam模块防止暴力破解
7、环境变量的读取顺序
用户登录 ---> 加载 ~/.bash_profile ---> bash_profile 中配置了首先是使 ~/.bashrc 生效
.bash_profile”文件中的命令将在该用户每次登录时被执行
.bashrc”文件中的命令会在每次加载“/bin/bash(Shell解释器)”
.bash_logout 在退出shell时被读取
二、限制su命令用户、PAM安全认证
默认情况下,任何用户都允许使用su命令进行切换,root用户切换到普通用户不需要密码,普通用户切换到root用户需要密码
1、su命令用户
vim /etc/pam.d/su
2 # auth sufficient pam_rootok.so
注释第二行后所有用户切换都需要密码
gpasswd -a zhangsan wheel
cat /etc/group | grep -i "wheel"
vim /etc/pam.d/su 取消第六行注释
取消第六行注释后,只有wheel组成