账号安全控制
系统账号的清理
将非登录用户的Shell设为/sbin/nologin
usermod -s /sbin/nologin 用户名
锁定长期不使用的账号
[root@localhost ~]# usermod -L test2 锁定用户账号方法一
[root@localhost ~]# passwd -l test3 锁定用户账号方法二
[root@localhost ~]# usermod -U test2 解锁用户账号方法一
[root@localhost ~]# passwd -u test3 解锁用户账号方法二
删除无用账号
[root@localhost ~]# userdel test1
[root@localhost ~]# userdel -r test2 把家目录下的用户目录也一起删除
锁定账号文件passwd、shadow
[root@localhost ~]# chattr +i /etc/passwd /etc/shadow 锁定文件,包括root也无法修改
[root@localhost ~]# chattr -i /etc/passwd /etc/shadow 解锁文件
[root@localhost ~]# lsattr /etc/passwd /etc/shadow查看文件状态属性
密码安全控制
设置密码有效期
[root@localhost ~]# chage -M 60 test3 这种方法适合修改已经存在的用户1
[root@localhost ~]# vim /etc/login.defs 这种适合以后添加新用户,
PASS_MAX_DAYS 30
[root@localhost ~]# chage -d 0 test6 强制要求用户下次登陆时修改密码
命令历史、自动注销
命令历史限制
-
减少记录命令的条数
-
注销时自动情况命令历史
减少记录命令的条数:
1.[root@localhost ~]# vim /etc/profile 进入配置文件修改限制命令条数。适合新用户
HISTSIZE=200 修改限制命令为200条,系统默认是1000条profile
[root@localhost ~]# source /etc/ 刷新配置文件,使文件立即生效
2.[root@localhost ~]# export HISTSIZE=200 适用于当前用户
[root@localhost ~]# source /etc/profile
[root@localhost ~]# source /etc/profile 刷新配置文件,使文件立即生效
3. 注销时自动清空命令:
[root@localhost ~]# vim ~/.bashrc
echo "" > ~/.bash_history
用户切换与提权(加入wheel组)
su命令—切换用户
1.用途及用法
用途:Substitute User,切换用户
格式:su - 目标用户(横杠“ - ”代表切换到目标用户的家目录)
root - - - >任意用户,不验证密码
普通用户- - - >其他用户,验证目标用户的密码
带 “ - ” 表示将使用目标用户的登录Shell环境
2.查看su操作记录
安全日志文件:/var/log/secure
3.whoami确定当前用户是谁
4. vim /etc/pam.d/su
把第六行注释去掉保存退出
默认情况下,使用root切换不需要密码
注释两行,所有账号都可以使用,但是root切换时需要密码
tail -5 /var/log/secure
sudo命令—提升执行权限
sudo命令的用途及用法:
用途:以其他用户身份(如root)执行授权命令
用法:sudo 授权命令
1.
配置sudo授权
visudo 或者 vim /etc/sudoers
记录格式:
用户 主机名列表=命令程序列表
可以使用通配符“ * ”号任意值和“ !”号进行取反操作。
权限生效后,输入密码后5分钟可以不用重新输入密码。
2.
配置/etc/sudoers文件,可以授权用户较多的时使用
Host_Alias MYHOST= localhost 主机名
User_Alias MYUSER = yxp,zhangsan,lisi 需要授权的用户
Cmnd_Alias MYCMD = /sbin/*,/usr/bin/passwd 授权
MYUSER MYHOST = NOPASSWD : MYCMD 授权格式
3.查看sudo操作记录
需启用Defaults logfile
配置默认日志文件: /var/log/sudo
终端及登录控制
限制root用户只在安全终端登录
-
安全终端配置:/etc/securetty
-
步骤:
- 更改相关配置文件
- 切换至指定终端进行测试
- 切换至其他终端进行测试
禁止普通用户登录
- 建立/etc/nologin文件
- 删除nologin文件或者重启后即恢复正常![(https://typora151.oss-cn-shanghai.aliyuncs.com/Snipaste_2022-06-06_23-16-22.png)
img-TszFxRmk-1654528760001)]
禁止普通用户登录
- 建立/etc/nologin文件
- 删除nologin文件或者重启后即恢复正常[外链图片转存中…(img-4YH67CJC-1654528760003)]