文章目录
前言:
用户账号是计算机使用者的身份标识,每一个要访问系统资源的人,必须凭借其用户
一、 系统账号清理
将非登录用户的Shell设为/sbin/nologin(不运行登录终端)
锁定长期不使用的账号
删除无用的账号
锁定账号文件passwd、shadow
此处我们就锁定账号文件进行讨论:
首先我们创建wangwu用户并设置密码
[root@localhost ~]# useradd wangwu
[root@localhost ~]# passwd wangwu
更改用户 wangwu 的密码 。
新的 密码:
无效的密码: 密码少于 8 个字符
重新输入新的 密码:
passwd:所有的身份验证令牌已经成功更新。
[root@localhost ~]# tail -2 /etc/passwd
dings02:x:1000:1000:dings02:/home/dings02:/bin/bash
wangwu:x:1001:1001::/home/wangwu:/bin/bash
查看文件属性状态:
[root@localhost ~]# lsattr /etc/passwd /etc/shadow
---------------- /etc/passwd
---------------- /etc/shadow
查看到etc/passwd和/etc/shadow这两个文件的属性状态为未锁定
此时我们进行锁定:
[root@localhost ~]# chattr +i /etc/passwd /etc/shadow (锁定etc/passwd和etc/shadow文件)
[root@localhost ~]# lsattr /etc/passwd /etc/shadow
----i----------- /etc/passwd (被锁定)
----i----------- /etc/shadow (被锁定)
[root@localhost ~]# useradd lisi (尝试创建用户)
useradd:无法打开 /etc/passwd (无法加载文件,创建失败)
可见通过chattr +i可以锁定文件,同时解锁命令为chattr -i ,此时我们可以创建lisi用户。示例:
[root@localhost ~]# chattr -i /etc/passwd /etc/shadow
[root@localhost ~]# lsattr /etc/passwd /etc/shadow
---------------- /etc/passwd
---------------- /etc/shadow
[root@localhost ~]# useradd lisi
[root@localhost ~]# ls /home
dings02 lisi
我们同时可以使用“chattr +i 文件”来锁定,防止关键文件被修改。
示例:
[root@localhost ~]# chattr +i /etc/passwd
[root@localhost ~]# lsattr /etc/passwd
----i----------- /etc/passwd
[root@localhost ~]# mv /etc/passwd /home
mv: 无法删除"/etc/passwd": 不允许的操作
二、 密码安全控制
密码安全控制主要从以下两个方面进行:
设置密码有效期
要求用户下次登录时修改密码
查看账户密码文件:
更改密码属性文件,配置文件位置:etc/login.defs。进入编辑,示例:
[root@localhost ~]# vim /etc/login.defs
进入编辑模式,“ESC"---->”shift+:“进入末行模式,输入/99999,查找到PASS_MAX_DAYS(修改更改密码最大周期)的位置。然后改为30(密码更改周期为30天),最后wq保存退出,如图:
此设置针对创建新用户,我们新建一个“zhaoliu”用户,然后查看密码文件 vim /etc/shadow,如图可见新用户密码周期属性更改成功:
针对已有用户的密码属性更改的方法如下:
命令:chage -M 30 wangwu,示例:
还有一种设置,指定用户在下一次登录时强制其进行重新设置密码,方法如下:
命令:chage -d 0 wangwu,示例:
[root@localhost ~]# chage -d 0 wangwu
用户wangwu登录时如下:
输入完成后: