目录
1、账号安全控制
(1)账号安全基本措施
■系统账号清理
●将非登录用户的shell设为/sbin/nologin
●锁定长期不使用的账号
●删除无用的账号
●锁定账号文件passwd、shadow
■密码安全控制
●设置密码有效期
●要求用户下次登录时修改密码
■命令历史限制
●减少记录的命令条数
●注销时自动清空命令历史
■终端自动注销
●闲置600秒后自动注销
source /etc/profile 刷新
进入.bashrc 创建 echo “ ” > ~/.bash_history (每次登录时 双引号无内容 会自动覆盖之前的执行命令)
开机加载顺序:.bash_profile > .bashrc > /bin/bash
进入~/.bash_logout 将清除历史命令写入 在登出是会自动清除 (切换用户必须刷新source )(缓存数据并不会清除)
进入profile 创建 export TMOU=60 1分钟后自动关机自动关机
刷新
(2)使用su命令切换用户
■用途及用法
●用途:Sbstitute User ,切换用户
●格式:su - 目标用户
■密码验证
●root > 任意用户,不验证密码
●普通用户 > 其他用户,验证目标用户的密码
■限制使用su命令的用户
●将允许使用su命令的用户加入wheel组
●启用pam_wheel 认证模块
■查看su操作记录
●安全日志文件:/var/log/secure
默认情况下,任何用户都允许使用 su命令,从而有机会反复尝试其他用户(如 root)的登录密码,这样带来了安全风险。为了加强 su命令的使用控制,可以借助于pam_wheel认证模块,只允许极个别用户使用su命令进行切换。实现过程如下:将授权使用su命令的用户添加到 wheel组,修改/etc/pam.d/su认证配置以启用pam_wheel认证。
在/etc/pam.d/su文件里设置禁止用户使用su命令
vim /etc/pam.d/su
2 #auth sufficient pam_ rootok.so
6 #auth required pam_ wheel.so use_ _uid
(a)以上两行是默认状态(即开启第一行,注释第二行),这种状态下是允许所有用户间使用su命令进行切换的。
(b)两行都注释也是运行所有用户都能使用su命令,但root'下使用su切换到其他普通用户需要输入密码;如果第一行不注释,则root使用su切换普通用户就不需要输入密码(pam rootok.so模块的主要作用是使uid为o的用户,即root用户能够直接通过认证而不用输入密码。
(c)如果开启第二行,表示只有root用户和wheel组内的用户才可以使用su命令
(d)如果注释第一行,开启第二行,表示只有wheel组内的用户才能使用su命令,root用户也被禁用su命令。
案例:
[root@localhost ~]# gpasswd -a zhangsan wheel #添加授权用户 zhangsan
正在将用户"zhangsan"加入到"wheel"组中
[root@localhost ~]# grep wheel /etc/group #确认 wheel组成员
wheel:x:10;zhangsan
[root@localhost ~]# vi /etc/pam.d/su #%PAM-1.0
auth sufficient pam_rootok.so
auth required pam_wheel.so use_uid #去掉此行开头的#号
启用pam wheel 认证以后,未加入到 wheel 组内的其他用户将无法使用su命令,尝试进行切换时将提示"拒绝权限",从而将切换用户的权限控制在最小范围内。
普通用户切换登录测试验证
使用su命令切换用户的操作将会记录到安全日志/var/log/secure文件中,可以根据需要进行查看。
进入 vim /etc/pam.d/su 进行修改
将这个#删除即可切换 其他用户不可切换root 因不在之前设置的wheel组中