账号安全控制

最新推荐文章于 2024-09-25 15:20:18 发布
最新推荐文章于 2024-09-25 15:20:18 发布
阅读量205 收藏
点赞数
文章标签: linux 运维 centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47343020/article/details/125156533
版权
本文介绍了Linux系统中实现账号和密码的安全控制方法,包括设置非登录用户的Shell、锁定和解锁用户账号、删除无用账号、保护账号文件免受修改、设定密码有效期、限制命令历史记录、使用su和sudo进行权限切换,以及终端和登录控制,如限制root用户登录终端和禁止普通用户登录。通过这些措施,能有效提高系统的安全性。
摘要由CSDN通过智能技术生成

账号安全控制

系统账号的清理

将非登录用户的Shell设为/sbin/nologin

usermod -s /sbin/nologin 用户名
锁定长期不使用的账号

[root@localhost ~]# usermod -L test2 锁定用户账号方法一
[root@localhost ~]# passwd -l test3 锁定用户账号方法二
[root@localhost ~]# usermod -U test2 解锁用户账号方法一
[root@localhost ~]# passwd -u test3 解锁用户账号方法二

删除无用账号

[root@localhost ~]# userdel test1
[root@localhost ~]# userdel -r test2  把家目录下的用户目录也一起删除

锁定账号文件passwd、shadow

[root@localhost ~]# chattr +i /etc/passwd /etc/shadow   锁定文件,包括root也无法修改
[root@localhost ~]# chattr -i /etc/passwd /etc/shadow 解锁文件
[root@localhost ~]# lsattr /etc/passwd /etc/shadow查看文件状态属性
密码安全控制

设置密码有效期

[root@localhost ~]# chage -M 60 test3   这种方法适合修改已经存在的用户1
[root@localhost ~]# vim /etc/login.defs   这种适合以后添加新用户,
   PASS_MAX_DAYS   30

[root@localhost ~]# chage -d 0 test6  强制要求用户下次登陆时修改密码
命令历史、自动注销

命令历史限制

  • 减少记录命令的条数

  • 注销时自动情况命令历史

减少记录命令的条数:
1.[root@localhost ~]# vim /etc/profile  进入配置文件修改限制命令条数。适合新用户
HISTSIZE=200     修改限制命令为200条,系统默认是1000条profile 
[root@localhost ~]# source /etc/ 刷新配置文件,使文件立即生效

2.[root@localhost ~]# export HISTSIZE=200  适用于当前用户
[root@localhost ~]# source /etc/profile
[root@localhost ~]# source /etc/profile 刷新配置文件,使文件立即生效

3. 注销时自动清空命令:
 [root@localhost ~]# vim ~/.bashrc
 echo "" > ~/.bash_history
用户切换与提权(加入wheel组)
su命令—切换用户
1.用途及用法
用途:Substitute User,切换用户
格式:su - 目标用户(横杠“ - ”代表切换到目标用户的家目录)

root - - - >任意用户,不验证密码
普通用户- - - >其他用户,验证目标用户的密码
带 “ - ” 表示将使用目标用户的登录Shell环境

2.查看su操作记录
安全日志文件:/var/log/secure

3.whoami确定当前用户是谁

4. vim /etc/pam.d/su
   把第六行注释去掉保存退出
   
   默认情况下,使用root切换不需要密码
注释两行,所有账号都可以使用,但是root切换时需要密码
  
  tail -5 /var/log/secure
sudo命令—提升执行权限
sudo命令的用途及用法:
用途:以其他用户身份(如root)执行授权命令
用法:sudo 授权命令
1.
配置sudo授权
visudo 或者 vim /etc/sudoers
记录格式:
用户 主机名列表=命令程序列表
可以使用通配符“ * ”号任意值和“ !”号进行取反操作。
权限生效后,输入密码后5分钟可以不用重新输入密码。
2.
配置/etc/sudoers文件,可以授权用户较多的时使用
Host_Alias MYHOST= localhost  主机名
User_Alias MYUSER = yxp,zhangsan,lisi  需要授权的用户 
Cmnd_Alias MYCMD = /sbin/*,/usr/bin/passwd  授权
 MYUSER  MYHOST = NOPASSWD : MYCMD  授权格式
 
3.查看sudo操作记录
需启用Defaults logfile
配置默认日志文件: /var/log/sudo
终端及登录控制
限制root用户只在安全终端登录

  • 安全终端配置:/etc/securetty

  • 步骤:

    1. 更改相关配置文件
    2. 切换至指定终端进行测试
    3. 切换至其他终端进行测试Snipaste_2022-06-06_23-13-44
禁止普通用户登录
  • 建立/etc/nologin文件
  • 删除nologin文件或者重启后即恢复正常![(https://typora151.oss-cn-shanghai.aliyuncs.com/Snipaste_2022-06-06_23-16-22.png)Snipaste_2022-06-06_23-15-38

img-TszFxRmk-1654528760001)]

禁止普通用户登录
  • 建立/etc/nologin文件
  • 删除nologin文件或者重启后即恢复正常[外链图片转存中…(img-4YH67CJC-1654528760003)]

Snipaste_2022-06-06_23-16-22

修勾不修勾
关注
BAT批处理脚本-获取当前用户名和密码.zip
12-22
BAT批处理脚本-获取当前用户名和密码.zip
系统安全及应用--账号安全控制
weixin_53560205的博客
08-18 1875
文章目录前言一、基本安全措施1、系统账号清理2、密码安全控制3、命令历史限制4、终端自动注销二、用户切换与提权1、su 命令——切换用户2、在/etc/pam.d/su文件里设置禁止用户使用su命令三、PAM安全认证1、PAM及作用2、PAM认证原理3、PAM认证的构成4、PAM 控制类型总结 前言 用户账号,是计算机使用者的身份凭证或标识,每一个要访问系统资源的人,必须凭借其用户账号才能进入计算机,在 Linux 系统中,提供了多种机制来确保用户账号的正当、安全使用,为了确保我们的账户安全我们要学会账号
关于批处理输入密码的问题
weixin_30753873的博客
01-09 1016
最近要写一个批处理来处理系统服务的账号密码变更,需要涉及到密码输入。但是貌似批处理是无法处理密码不明文显示的问题。不过相信广大码农的智慧还是无穷的,于是乎就开始百度。果不其然,找到了差不多3,4种方法。每一种据说都是灰常犀利的,但是很悲剧的是,我这边一种都没有成功执行过。我总结了下,网上的方法大约如下: 方法一:使用ASCODE 1: @ec...
1.3 文件操作命令(touch、stat、cat、more、less、head、tail、ln)
Tiamon_的博客
11-21 480
3.1 touch 命令:创建文件或修改文件时间 例1:创建文件 test [root@localhost ~]# touch test [root@localhost ~]# ll test -rw-r--r--. 1 root root 0 11月 12 21:04 test 3.2 stat 命令:查看文件详细信息 例1:新建文件 test,查看 test 的详细信息 [root@localhost ~]# touch test [root@localhost ~]# stat test 文件
windows系统中快速修改用户密码批处理命令
08-15 6285
@echo off color 0a title 用户密码快速设置 echo.                     以下是本机的所有用户 net user echo. echo. set /p user=          请输入要修改密码用户名: If /
bat批处理脚本获取window系统所有用户名并设置密码,禁用Guest账户
星如雨落
11-19 3841
可以编写代码,bat批处理脚本获取window系统所有用户名并设置密码,如下,如果bat文件有中文,在cmd中执行会出现乱码,解决方法是用记事本打开bat文件,在“文件”->“另存为”中将编码设置`ANSI`即可
Win2008 远程控制安全设置技巧
09-30
【Win2008远程控制安全设置技巧】 在大规模的局域网环境中,网络管理员通常依赖远程控制技术来管理服务器和关键工作主机,以提升管理效率。然而,远程控制同时也带来安全风险,容易被忽视。为了增强Windows Server ...
特权账号安全能力建设.pdf
01-25
攻击者可以通过窃取或滥用特权账号来访问和控制企业的关键IT资产和数据资源,从而导致数据泄漏和其他安全事件。 其次,特权账号管理的不善将导致数据泄漏风险的增加。例如,特权账号密码管理不善、账号的权限扩大...
系统安全权限控制.pdf
07-26
互联网公司权限安全规范设计。包含数据库权限,服务器权限,外部账号权限,代码仓库权限。。PDF
BAT批处理脚本-被锁定帐户.zip
12-22
BAT批处理脚本-被锁定帐户.zip
业务安全风险控制实践.pdf
08-08
在当今的互联网业务中,业务安全风险控制是企业保护自身和用户利益的重要手段。随着各种营销活动的普及,这些活动往往可能成为黑产利用的漏洞,因为这些活动能够吸引大量用户参与,从而为黑产提供了获利的空间。这些...
(完全解决)Windows如何使用批处理命令进行SSH连接并自动输入密码
热门推荐
qq_43391414的博客
10-01 2万+
找了很多方法,有说用 密钥的 sshpass工具的 用SSH客户端连接工具 脚本的 我很久之前试过用自己的虚拟机Linux SSH连接服务器Linux,使用过密钥,确实方便,但是没有试过Windows 使用密钥SSH连接服务器Linux,出于怕很麻烦的缘故没有使用方法一。 方法二没有用过,听说sshpass可以直接带密码作为参数,而ssh不可以。 方法三我目前的认知是仅限于简单的ssh连接,比如: ssh pika@192.168.0.111 然后你输入密码之后软件会帮你自动保存,以后你只需点击图标,
PG Shell脚本自动输入密码
Cry4TheMoon的博客
06-09 1042
PG shell脚本自动输入密码
bat批处理:提示输入地址,端口,用户名,进入MySQL命令
weixin_43893037的博客
04-21 563
bat批处理:提示输入地址,端口,用户名,进入MySQL命令
Windows下用命令行注销用户(包括注销其他用户
vdoublev的博客
08-18 1万+
一、使用cmd命令注销当前登录用户:logoff cmd启动命令窗口 输入 logoff ,然后回车,就立刻注销当前登录用户了 二、使用cmd命令注销其他登录用户 cmd启动命令窗口 输入:query user ,查询当前已经登录的用户名、ID、登录时间等信息 输入: logoff ID,然后回车,就可以注销指定ID的登录用户 转载于:https://blog.51cto.com/tianma3798/1735409 ...
一键修改Windows密码批处理
发量堪忧
03-21 2829
@echo off title 重置当前用户密码 :cx echo 当前用户名为:%username% set mm=123456 #设置的密码 set rmm=123456 #设置的密码 if %mm%==%rmm% goto cz :cz net user %username% %mm% echo 密码重置成功,密码为%rmm%请按任意键关闭!!! & pause>nul 验证 ...
Linux实践】实验四:Shell实用功能及文件权限
最新发布
Fulling的博客
09-25 734
实验内容 1、使用命令“cat /etc/named.conf”设置为别名named,然后再取消别名。 2、使用echo命令和输出重定向创建文本文件/root/nn,内容是hello,然后再使用追加重定向输入内容为word。 3、使用管道方式分页显示/etc/passwd的内容。 4、分别用文字设定法和数字设定法,对/root/ab文件设置权限,所有者为读取、写入和执行权限,同组用户为读取和写入权限,其他用户没有任何权限。 5、将文件/root/ab所有者更改为用户zhangsan。 6、将目录/root/
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值