1.系统账号清理
在Linux系统中,除了用户手动创建的各种账号之外,还包括随系统或程序安装过程而生成的其
他大量账号。除了超级用户root之外,其他大量账号只是用来维护系统运作、启动或保持服务进程,
一般是不允许登录的, 因此也称为非登录用户账号。
常见的非登录用户账号包括bin. daemon. adm. Ip. mail 等。为了确保系统安全,这些用户账
号的登录Shell通常是/sbin/nologin,表示禁止终端登录,应确保不被人为改动,如下所示。
各种非登录用户账号中,还有相当一部分是很少用到的,如games. 这些用户账号可以视为冗余账号,直接删除即可。除此之外,还有一些随应用程序安装的用户账号,若卸载程序以后未能自动删除,则需要管理员手动进行清理。
对于Linux服务器中长期不用的用户账号.若无法确定是否应该删除,可以暂时将其锁定.例如,若要锁定、解锁名为zhangsan 的用户账号,可以执行以下操作
如果服务器中的用户账号已经固定,不再进行更改,还可以采取锁定账号配置文件的方法。使用chatr命令,分别结合"+i” “一i”选项来锁定、解锁文件,使用Isattr命令可以查看文件锁定情况。
在账号文件被锁定的情况下,其内容将不允许变更,因此无法添加、删除账号,也不能更改用户的密码、登录Shell. 宿主目录等属性信息。
- 密码安全控制
在不安全的网络环境中,为了降低密码被猜出或被暴力破解的风险,用户应养成定期更改密码的习惯,避免长期使用同一个密码。管理员可以在服务器端限制用户密码的最大有效天数,对于密码已过期的用户,登录时将被要求重新设置密码,否则将拒绝登录。执行以下操作可将密码的有效期设为30天(chage 命令用于设置密码时限)。
在某些特殊情况下,如要求批量创建的用户初次登录时必须自设密码,根据安全规划统-要求所有用户更新密码等,可以由管理员执行强制策略,以便用户在下次登录时必须更改密码。例如,
执行以下操作可强制要求用户zhangsan 下次登录时重设密码。
3 命令历史、自动注销
Shell环境的命令历史机制为用户提供了极大的便利但另- -方面也给用户带来了潜在的风险。只要获得用户的命令历史文件,该用户的命令操作过程将会一览无余 ,如果曾经在命令行输入明文
的密码,则无意之中服务器的安全壁垒又多了-个缺口。
Bash终端环境中,历史命令的记录条数由变量HISTSIZE 控制,默认为1000 条。通过修改/etc/profile文件中的HISTSIZE变量值,可以影响系统中的所有用户。例如,可以设置最多只记录200条历史命令。
除此之外,还可以修改用户宿主目录中的~/ bash. _logout 文件,添加清空历史命令的操作语句。这样,当用户退出已登录Bash环境以后,所记录的历史命令将自动清空。
Bash终端环境中,还可以设置一个闲置超时时间,当超过指定的时间没有任何输入时即自动注销终端,这样可以有效避免当管理员不在时其他人员对服务器的误操作风险.闲置超时由变量TMOUT
来控制,默认单位为秒(s)。
需要注意的是,当正在执行程序代码编译、修改系统配置等耗时较长的操作时,应避免设置TMOUT变量。必要时可以执行‘unset TMOUT”命令取消 TMOUT变量设置。
1765
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
