目录
1.1、将非登录用户的shell设为/sbin/nologin
一、账号安全基本设施
1.系统账号清理
1.1、将非登录用户的shell设为/sbin/nologin
非登录:不可以使用bash程序
1.2、锁定长期不使用的账号
- 使用usermod锁定用户
-
usermod -L 用户名 //锁定用户
-
usermod -U 用户名 //解锁用户
使用passwd锁定账户
passwd -l 用户名 //锁定用户
passwd -u 用户名 //解锁用户
1.3、删除无用的账号
1..4、锁定配置文件——chattr
锁定配置文件即锁定配置文件passwd与shadow
chattr +i /etc/passwd /etc/shadow //锁定配置文件
chattr -i /etc/passwd /etc/shadow //解锁配置文件
chattr +a /etc/passwd /etc/shadow //让文件或目录仅供附加用途,只能追加
lsattr /etc/passwd /etc/shadow //查看文件状态属性
2、密码安全控制
1.1、未创建的用户密码管理
未创建的用户需要进入/etc/login.defs进行修改密码属性,使得在下次创建用户时密码信息生效
例子
新建用户并更改密码属性
查看信息
1.2、已创建用户密码管理---chage命令
格式:chage [选项] 用户名
强制用户下次登录时一定修改密码,此时密码应该符合复杂性的要求
格式:chage -d 0 用户名
3、命令历史限制
1.1、命令历史限制
Shell 环境的命令历史机制为用户提供了极大的便利,但另一方面也给用户带来了潜在 的风险。只
要获得用户的命令历史文件,该用户的命令操作过程将会一览无余,如果曾经在 命令行输入明文
的密码,则无意之中服务器的安全壁垒又多了一个缺口。Bash 终端环境中,历史命令的记录条数
由变量 HISTSIZE 控制,默认为 1000 条。通 过修改/etc/profile 文件中的 HISTSIZE 变量值,可以
影响系统中的所有用户。例如,可以设 置最多只记录 200 条历史命令。
- 临时修改当前用户的历史命令条数
[root@localhost ~]# export HISTSIZE=200 //临时修改历史命令条数为200条
- 进入配置文件永久修改历史命令条数
[root@localhost ~]# vim /etc/profile //进入配置文件
HISTSIZE=200 //将历史命令条数由1000改为200
[root@localhost ~]# source /etc/profile //刷新配置文件,使文件立即生效
- 退出时清除
[root@localhost ~]# vim .bash_logout
echo " " > ~/.bash_history
- 开机后清除
[root@localhost ~]# vim .bashrc
echo " " > ~/.bash_history
1.2、终端自动注销
[root@localhost ~]# vim /etc/profile
export TMOUT=600
二、用户切换与提权
1、su命令——切换用户
su命令即 switch user,命令可以切换用户身份,并且以指定用户的身份执行命
格式: su [options...] [-] [user [args...]]
1.1、切换用户的方式
- su UserName