一、基本安全
1.系统账号清理
Linux中账号有root,手工创建的,维护系统运作的,和非登录用户,常见的非登录用户有bin.daemon.adm.mail.nobody.apache.mysql.ftp等,其中一部分很少用到,可以删除,如news.uucp.games.gopher。还有就是应用卸载后残留用户,需管理员手工删除,可以在/etc/passwd中查询
grep "/sbin/nologin$" /etc/passwd
有长期不使用账号的,不确定是否删除的,可以将用户锁定
usermod -L 用户名 锁定
usermod -U 用户名 解锁
如果服务器中的账号以固定,不在进行修改,可以采取锁定账号配置文件的方法
chattr +i 文件 锁定文件
chattr -i 文件 解锁文件
lsattr 文件 查看锁定状态
锁定/etc/passwd /etc/shadow就不能再添加用户了
2.密码安全控制
限制用户密码的最大有效天数
vim /etc/login.defs #适用于新建用户