**基本安全措施**
用户账号登录Shell是/sbin/nologin,表示禁止终端登录
grep “/sbin/nologin$” /etc/passwd
长期不用的账号可以先锁定
usermod -L zhangsan //锁定
passwd -S zhangsan //查看状态
usermod -U zhangsan //解锁
锁定文件及解锁
chattr +i /etc/passwd /etc/shadow //锁定
lsattr /etc/passwd /etc/shadow //查看状态
chattr -i /etc/passwd /etc/shadow //解锁
为了降低被破解的风险,密码安全控制
vim /etc/login.defs //适用于新建用户
添加PASS_MAX_DAYS 30 //密码有效期30天
chage -M 30 lisi //适用于已有的lisi用户
强制用户下次登录时重设密码
chage -d 0 lisi //lisi下次登录时重设密码
命令历史,自动注销,默认为1000条
vim /etc/profile // 适用于新登用户
添加HISTSIZE=200 //最多只记录200条历史命令
export HISTSIZE=200 //适用于当前用户
vim ~/.bash_logout //用户退出登录后,记录将自动清空
添加history -c
clean
超过指定时间没有任何输入时自动注销终端
vim /etc/profile // 适用于新登用户
添加export TMOUT=600 //超时设置为600秒
export TMOUT=600 //适用于当前用户
unset TMOUT //取消TMOUNT变量设置
用户切换与提权
使用su,切换指定用户,从而具有该用户所有权限
su - root //切换到root
限制用户su切换,允许个别用户su
gpasswd -a lisi wheel //添加授权用户lisi
grep wheel /etc/group //确认wheel组成员
vim /etc/pam.d/su //配置文件
#auth sufficient pam_rootok.so //无密码验证
auth required pam_wheel.so use_uid //去掉此行开通的#号