账户安全的注意事项
1,禁用不常用的账户
防止身份被冒充
2,设置密码满足复杂性
满足十分之三原则
长度不低于七位
3,设置账户禁用和登录系统
一般管理服务账户禁止登录系统
用户登录shell是/sbin/nologin不允许登录系统
4,定期清理过期账户
防止用户使用
5,禁止管理员登录系统
防止权限过大发生误操作
6,锁定用户密码文件
超级用户无法添加删除用户
二,锁定和解锁用户
1,禁止用户登录系统
[root@centos01]# usermod -s /sbin/nologin bob
2,使用usermod锁定用户
[root@centos01]# usermod -L bob
[root@centos01]# passwd -u bob
3,查看用户是否锁定
[root@centos01]# passwd -S bob
4,解锁用户
[root@centos01]# usermod -U bob
[root@centos01]# passwd -u bob
5,锁定账户密码文件
[root@centos01]# chattr +i /etc/passwd /etc/shadow
6,解锁用户密码文件
[root@centos01]# shattr -i /etc/passwd /etc/shadow
7,查看账户密码文件状态
[root@centos01]# lsattr /etc/passwd /etc/shadow
8,删除用户和文件
[root@centos01]# userdel -r bob
三,控制用户密码有效期限
1,设置密码10天后过期
[root@centos01]# chage -M 10 bob
2,设置用户下次登录修改密码
[root@centos01]# hage -d 0 bob
四,设置命令历史记录
1,设置命令历史记录10条
[root@centos01]# vim .bash_profile
export HISTSIZE=10
2,自动清空历史命令
[root@centos01]# vim ./bash logout
history -c
Clear
3,设置终端空闲600秒自动注销
[root@centos01]# vim ./bash_profile
export TMOUT=600
用户切换和提权
一,su命令切换用户
1,切换到普通用户不需要输入密码
[root@centos01]# su bob
2,普通用户切换到root
[root@centos01]# su -
[root@centos01]# su --login
[root@centos01]# su -l
二,限制特定用户使用su命令
1,修改apm身份验证,允许wheel组用户使用su
[root@centos01]# vim /etc/pam.d/su
#%PAM-1.0
auth sufficient pam_rootok.so
auth required pam_wheel.so use_uid
2,修改配置文件允许wheel组使用su
[root@centos01]# vim /etc/login,defs
SU_SHEEL_NOLY yes
3,允许使用su命令用户添加到wheel组
[root@centos01]# gpasswd -a bob wheel
三,sudo
1,su特点
切换用户使用
管理员到普通用户之间相互切换
2,sudo
收钱特定的普通账户使用root权限命令
sudo用于提前执行ml使用
四,配置sudo收钱普通用户使用root权限命令
1,编辑sudo配置文件
[root@centos01]# vim /etc/sudoers
bob localhost=/usr/sbin/reboot
:wq!
2,将用户添加到wheel组
[root@centos01]# gpasswd -a bob wheel
2,使用sudo提前执行重新启动系统命令
[root@centos01]$ sudo reboot
禁止用户登录系统
允许用户登录系统
使用usermod 锁定用户
解锁用户
锁定账户密码文件
解锁用户密码文件
查看账户密码文件状态
设置密码十天后过期
设置用户下次登录修改密码
设置命令历史记录十条
自动清空历史命令
设置终端空闲600秒自动注销
切换到普通用户不需要输入密码
普通用户切换到root用户需要密码
修改apm身份验证 允许wheel组用户使用su
修改配置文件允许wheel组使用su命令
允许使用su命令用户添加到wheel组
编辑sudo配置文件
将用户添加到wheel组
查看授权的命令
禁用快捷键
重新启动服务
生成grub引导菜单密码
备份引导菜单
添加grub引导菜单密码
重新生成引导菜单
安装jr
备份密码配置文件
Jr破解密码文件
Nmap安装
扫描192.168.100.10开放的端口号信息
扫描特定的端口
扫描多个端口
扫描192.168.100.*