chage -h
这个跟 命令 + help 是一样的 但是跟选项有冲突就不可以
- [root@proxy ~]# chage -E 2019-12-31 zhangsan //修改失效日期
- [root@proxy ~]# chage -l zhangsan //查看账户年龄信息
- Last password change : May 15, 2017
- Password expires : never
- Password inactive : never
- Account expires : Dec 31, 2019
- Minimum number of days between password change : 0
- Maximum number of days between password change : 99999
- Number of days of warning before password expires : 7
定义默认有效期(扩展知识)
- [root@proxy ~]# cat /etc/login.defs
- PASS_MAX_DAYS 99999 //密码最长有效期
- PASS_MIN_DAYS 0 //密码最短有效期
- PASS_MIN_LEN 5 //密码最短长度
- PASS_WARN_AGE 7 //密码过期前几天提示警告信息
- UID_MIN 1000 //UID最小值
- UID_MAX 60000 //UID最大值
1.临时锁定密码操作
[root@proxy ~]# passwd -l tom ——————锁定密码
锁定用户 tom 的密码 。
passwd: 操作成功
[root@proxy ~]# passwd -s tom
passwd:错误的参数 -s:未知的选项
[root@proxy ~]# passwd -S tom ——————查看状态
tom LK 2018-06-30 0 99999 7 -1 (密码已被锁定。)
[root@proxy ~]# passwd -u tom————————解除密码
解锁用户 tom 的密码。
passwd: 操作成功
2.修改tty提示信息,系统版本
任何版本都是具有漏洞
不告诉别人版本,受攻击的可能就会减少 ————这样可以减少黑客攻击的风险
[root@proxy ~]# vim /etc/issu————修改配置文件
全部删除, 随便输入点内容 默认是版本号
[root@proxy ~]# lsattr /etc/issue
---------------- /etc/issue
[root@proxy ~]# chattr +i /etc/hosts————————锁定文件(无法进行文件的删除和修改的操作)
[root@proxy ~]# rm -rf /etc/hosts————————重要的文件可以锁定,可以防止被删除
rm: 无法删除"/etc/hosts": 不允许的操作
[root@proxy ~]# echo "xx" >> /etc/hosts
-bash: /etc/hosts: 权限不够
锁定文件
[root@proxy ~]# echo 123 > a.txt
[root@proxy ~]# vim a.txt
[root@proxy ~]# chattr +a a.txt————————锁定文件,但是可以进行文件的追加,但是不能用vim进行
[root@proxy ~]# vim a.txt
[root@proxy ~]# vim a.txt 只能用追加不能用vim添加
[root@proxy ~]# echo 4566 >> a.txt
[root@proxy ~]# vim a.txt
root@proxy ~]# chattr +i b.txt
[root@proxy ~]# echo 123 > b.txt
-bash: b.txt: 权限不够
[root@proxy ~]# rm -rf b.txt ——————可以保护重要的文件,防止误删
rm: 无法删除"b.txt": 不允许的操作
[root@proxy ~]# ls -ld b.txt
-rw-r--r--. 1 root root 4 6月 30 10:02 b.txt
[root@proxy ~]# cat b.txt
456
[root@proxy ~]# vim b.txt
[root@proxy ~]# chattr -i b.txt
vim /etc/fstab中添加
defaults.noatime
ctime atime mtime
1>访问时间(access time 简写为atime)
显示文件最后一次被访问的时间,
2>修改时间(modify time 简写为mtime)
显示文件最后一次被修改的时间
3>状态修改时间(change time 简写为ctime)
显示文件最后一次修改权限,所属组,所属者的,链接数量发生改变的时间
[root@proxy opt]# stat file.txt 利用这条命令查看文件状态 stat + 文件
使用sudo管理分配权限
[root@proxy ~]# su - tom
上一次登录:六 6月 30 09:34:50 CST 2018tty1 上
[tom@proxy ~]$ su -
——————————参数为空,直接访问的是root用户
密码:
上一次登录:六 6月 30 10:14:05 CST 2018pts/0 上
[root@proxy ~]# su - lisi -c "touch /tmp/xx.txt"
——————在root用户下创建lisi用户的文件
[root@proxy ~]# ll /tmp/xx.txt
-rw-rw-r--. 1 lisi lisi 0 6月 30 10:15 /tmp/xx.txt
——————查看所属组和所属者都属于lisi
[root@proxy ~]# su - tom
上一次登录:六 6月 30 10:14:33 CST 2018pts/0 上
[tom@proxy ~]$ su -
密码:
上一次登录:六 6月 30 10:15:57 CST 2018pts/0 上
[root@proxy ~]# whoami ——————撤换用户的时候确认当前的用户
root
sudo 的应用
[root@proxy ~]# which passwd——--显示命令的执行路径
/bin/passwd
vim /etc/sudoers
lisi ALL=(root) /usr/bin/systemctl
qi ALL=(root) /usr/bin/passwd
sudo 的配置文件是
[root@proxy ~]# vim /etc/sudoers
## Allow root to run any commands anywhere
root ALL=(ALL) ALL
lisi ALL=(root) /usr/bin/systemctl
qi ALL=(ALL) /usr/bin/passwd,!/usr/bin/passwd root,/usr/sbin/user*,!/usr/sbin/usr* * root
为useradm授予用户管理相关命令的执行权限,例外程序以!符号取反,放在后面。在执行相关程序时,可以利用通配符*。
这个是普通用户的赋予的权限的执行的 这个配置文件是要:wq!才可以退出
[root@proxy ~]# su - qi
上一次登录:六 6月 30 11:24:32 CST 2018pts/0
——————管理者赋予权力后就可以执行管理者的权限
[qi@proxy ~]$ sudo passwd tang
[sudo] qi 的密码:
更改用户 tang 的密码 。
新的 密码:
为sudo机制启用日志记录,以便跟踪sudo执行操作
1)修改/etc/sudoers配置,添加日志设置
[root@proxy ~]# vim /etc/sudoers
- Defaults logfile="/var/log/sudo"
2)以root(默认有所有权限)执行sudo操作
- [root@proxy ~]# sudo -l //查看授权的sudo操作
- [softadm@proxy ~]# sudo systemctl status httpd //查看授权的sudo操作
3)确认日志记录已生效
[root@proxy ~]# tail /var/log/sudo
Jun 30 11:36:04 : qi : TTY=pts/0 ; PWD=/home/qi ; USER=root ;
COMMAND=/bin/passwd tang
这个最好是从新开一个终端 ,这样比较方便查看日志信息
允许wheel组成员以特权执行/bin/下的所有命令
- [root@proxy ~]# vim /etc/sudoers
- .. ..
- %wheel ALL=(ALL) /bin/*
- [root@proxy ~]# usermod -a -G wheel zengye
- [zengye@proxy ~]$ sudo -l
- .. ..
- 用户 zengye 可以在该主机上运行以下命令:
- (root) /bin/*
为sudo机制启用日志记录,以便跟踪sudo执行操作
1)修改/etc/sudoers配置,添加日志设置
- [root@proxy ~]# visudo
- Defaults logfile="/var/log/sudo"
- .. ..
2)以root(默认有所有权限)执行sudo操作
- [root@proxy ~]# sudo -l //查看授权的sudo操作
- [softadm@proxy ~]# sudo systemctl status httpd //查看授权的sudo操作
3)确认日志记录已生效
- [root@proxy ~]# tail /var/log/sudo
- .. ..
- May 16 22:14:49 : root : TTY=pts/1 ; PWD=/root ; USER=root ; COMMAND=list
- Feb 22 22:35:43 : softadm : TTY=pts/11 ; PWD=/home/softadm ; USER=root ;
- COMMAND=/bin/systemctl status httpd
案例3:提高SSH服务安全
可以用密钥来进行访问
现在更多用的是虚拟化克隆用
虚拟化可以给运维带来便利性
阿里云 也有自己的脚本
ps aux | grep aliyun
检测客户的的cpu 内存 和入侵情况