# 各位小伙伴大家好,本次和大家分享的是Linux系统中的系统安全及应用的相关理论知识及操作。我将通过以下几点和相关的实验进行分析说明:
一.系统账号清理:
- 将非登录用户的shell设为/sbin/nologin
- 锁定长期不使用的账号
- 删除无用账号
- 锁定账号文件passwd、shadow
接下来我们做对于账号文件的控制管理实验:
输入:grep “bash”$” /etc/passwd(查看哪些用户可以登录当前服务器)
输入:useradd lisi(添加用户lisi)
输入:passwd lisi(给lisi账户设置密码)
输入:grep “bash”$” /etc/passwd(此时显示有root、zhngsan、lisi三个账户可以登录)
文件进行加锁步骤:
输入:lsattr /etc/passwd /etc/shadow(查看到文件此时状态为未加锁)
输入:chattr +i/etc/passwd /etc/shadow(对文件进行上锁)
输入:lsattr /etc/passwd /etc/shadow(查看到此时文件状态为已加锁,有“i”符号)
输入:useradd wangwu (此时无法添加用户)
输入:chattr -i /etc/passwd /etc/shadow(对账户文件解锁) 以上过程执行如下:
![80797b8181176351ce5068e1f7a8f9ff.png](https://img-blog.csdnimg.cn/img_convert/80797b8181176351ce5068e1f7a8f9ff.png)
![1b89efb2307f7ef4b4c0e397e901d428.png](https://img-blog.csdnimg.cn/img_convert/1b89efb2307f7ef4b4c0e397e901d428.png)
二.密码安全控制:
1.设置密码有效期
2.要求用户下次登录时修改密码
常用格式:
[root@localhost~]#vi /etc/login.defs(适用于新建用户)
……
PASS_MAX_DAYS 30
[root@localhost~]#chage -M 30 lisi(适用于已由用户)
[root@localhost~]#chage-d 0 zhngsan(强制在下次登录时更改密码)
设置密码有效期的实验:
输入:vim /etc/shadow(查看账户密码文件)
输入:q(退出)
输入:vim /etc/login.defs(改密码属性文件)
输入:/99999(定位查询)
按:dw(删除当前数值)
按:a(插入)
输入:30(设置新的数值)
输入:wq(保存退出)
创建新用户验证:
输入:useradd zhaoliu(创建新用户zhaoliu)
输入:passwd zhaoliu(设置密码,此处123123)
输入:vim /etc/shadow(再次查看账户密码文件)
此时发现对比:新创建zhaoliu用户有效期为30天,而老用户不生效依然为99999天 以上过程执行如下:
![50276ac86cf24e5c9bb4c831a9392102.png](https://img-blog.csdnimg.cn/img_convert/50276ac86cf24e5c9bb4c831a9392102.png)
![24b3d9ec56d4c7d9a4581d02b18e1b13.png](https://img-blog.csdnimg.cn/img_convert/24b3d9ec56d4c7d9a4581d02b18e1b13.png)
![e036155c2b33ce21169671e5a5f323a0.png](https://img-blog.csdnimg.cn/img_convert/e036155c2b33ce21169671e5a5f323a0.png)
![208e4727ac0ed7d1f4a85bdf3734c73a.png](https://img-blog.csdnimg.cn/img_convert/208e4727ac0ed7d1f4a85bdf3734c73a.png)
![b89384df0d3f363c61d9c158ba1a2a9a.png](https://img-blog.csdnimg.cn/img_convert/b89384df0d3f363c61d9c158ba1a2a9a.png)
接下来就是解决已创建用户密码最长时间的修改问题:
输入:chage -M 30 wangwu (修改已由账户wangwu的密码失效最长时间为30天)
输入:vim /etc/shadow(查看账户密码文件)
此时发现wangwu账户密码最长失效时间被修改为30天 以上过程执行如下:
![aae671b4a881228ee7e177580357ecdb.png](https://img-blog.csdnimg.cn/img_convert/aae671b4a881228ee7e177580357ecdb.png)
![f49cc5b927ed8132b6add38210deba77.png](https://img-blog.csdnimg.cn/img_convert/f49cc5b927ed8132b6add38210deba77.png)
设置下一次登录时需要修改密码实验:
1、输入:chage -d 0 lisi(设置李四下次登录时需要重新设置密码)
2、输入:vim /etc/shadow(查看账户密码文件查看lisi账户的密码有效期)
3、此时还是99999,没有变化
我们进入CentOS 7本地终端使用lisi账户进行登录:
4、lisi账户,输入原有密码123123回车登录
5、此时提示输入UNIX密码,依然输入lisi账户之前的密码123123回车登录
6、接下来提示我们设置新密码,输入:321abc!回车后提示“密码未通过字典检查,过于简单”
7、此处经过多次测试,输入如下密码:asdf1928,回车可进入下一步确认密码界面,输入相同密码后就可进入系统 以上过程执行如下:
![0bb99265b9e217df51ce1cd505bed734.png](https://img-blog.csdnimg.cn/img_convert/0bb99265b9e217df51ce1cd505bed734.png)
![271f1603f8c07370b1fc51f40aa7df57.png](https://img-blog.csdnimg.cn/img_convert/271f1603f8c07370b1fc51f40aa7df57.png)
![c3b3ca8022dfed865c34a194190034b2.png](https://img-blog.csdnimg.cn/img_convert/c3b3ca8022dfed865c34a194190034b2.png)
![b1ada95875e7b1b009f125f3154f3cec.png](https://img-blog.csdnimg.cn/img_convert/b1ada95875e7b1b009f125f3154f3cec.png)
![8bb6db1302750443cbb698f9901b69ee.png](https://img-blog.csdnimg.cn/img_convert/8bb6db1302750443cbb698f9901b69ee.png)
博主亲测提示:此处修改的密码不允许用连续的字母和阿拉伯数字,否则强行尝试会让你怀疑人生!
三.命令历史限制
1.减少记录的命令条数(原本有1000条)
2.注销时自动清空命令历史常见选项示例:
[root@localhost~]#vi/etc/profile
HISTSIZE=200
[root@localhost~]#vi ~/.bash_logout
history -c
clear
命令历史限制实验:
输入:history(查看历史命令记录)
在此处可以产看到默认的留存历史命令记录为1000条
输入:/1000,查找到此处
按:Shift+R,替换
输入:20,光标移到后面两个0,按x删除
输入:wq保存退出
输入:history(再次查看历史命令记录)
此时依然显示我们之前所有命令的总条数,而不是20条,是因为我们在更改过配置之后需要让它生效之后再重新查看才可以
输入:source /etc/prfile(修改配置生效)
输入:history(再次查看历史命令记录)
此时显示出来的就是我们输入的最后20条历史命令 以上过程执行结果如下:
![3d35e3f73acfc9a3bd942d1d4bfd1dc9.png](https://img-blog.csdnimg.cn/img_convert/3d35e3f73acfc9a3bd942d1d4bfd1dc9.png)
![a22b3bf08322476626de9280765b8151.png](https://img-blog.csdnimg.cn/img_convert/a22b3bf08322476626de9280765b8151.png)
如果只想针对用户进行注销时自动清空命令历史的话,该如何操作:
此处例如lisi账户
输入:cd /home/lisi(进入lisi账户的家目录)
输入:ls -a(查看隐藏文件)
执行:.bash_profile(客户环境变量文件)
输入:vim .bash_logout(对登出的变量文件进行编辑)
输入:history -c(清空历史)
输入:clear(清空缓存)
输入:wq(保存退出) 以上过程执行过程结果如下:
![14417f1609bab9bfaacb1c294588de04.png](https://img-blog.csdnimg.cn/img_convert/14417f1609bab9bfaacb1c294588de04.png)
![07780886b1064bd371689564974dc930.png](https://img-blog.csdnimg.cn/img_convert/07780886b1064bd371689564974dc930.png)
四.终端自动注销:
1.闲置600秒后自动注销
示例:br/>[root@localhost~]#vi~/.bash_profile
export TMOUT=600
设置终端自动注销实验:
输入:vim /etc/profile(进行指定) 按:大G到末行 按:o(插入内容) 输入:export TMOUT=15(设置为15S后自动注销) 输入:wq(保存退出) 输入:source /etc/profile(执行修改)等待15秒后系统会提示等待输入超时,自动登出以上过程执行结果如下:
![7b848892e8a58a2ab21d5ab372d2cb19.png](https://img-blog.csdnimg.cn/img_convert/7b848892e8a58a2ab21d5ab372d2cb19.png)
![e47e5c52f1ec0951179f09e6c847995c.png](https://img-blog.csdnimg.cn/img_convert/e47e5c52f1ec0951179f09e6c847995c.png)
以上实验大家均可以跟着命令步骤进行相关操作,谢谢大家的观看和支持!
更多干货点我主页,或关注专栏查收。
本专栏所有文章均为南京课工场学员投稿,如有问题欢迎指出讨论,未经允许,禁止转载!