一、账号安全
1.1 系统账号清理
1.1.1 禁止账号登录系统
- 将非登录用户的Shell设为/sbin/nologin
usermod -s /sbin/nologin 用户名
示例:禁止“lisi”用户登录
解禁: usermod -s /bin/bash lisi
1.1.2 锁定长期不使用的账号
方法一 :usermod -L 用户名
解锁:usermod -U 用户名
查询账号状态:passwd -S 用户名
方法二:passwd -l 用户名
解锁:passwd -u 用户名
1.1.3 删除无用的账号
userdel -r 用户名
添加“ -r ”选项时,表示连用户的宿主目录一起删除
1.1.4 锁定账号文件
锁定文件: chattr +i /etc/passwd /etc/shadow
示例:锁定修改密码文件,用户修改密码时会显示鉴定令牌操作错误
查看状态:lsattr /etc/passwd /etc/shadow
解锁文件:chattr -i /etc/passwd /etc/shadow
1.1.5 清除用户的密码
passwd -d 用户名
1.2 密码安全控制
1.2.1 修改用户账号密码有效期
密码有效期位于用户账号文件的第6字段
方法一:chage -M 天数 用户
适用于已建立的用户
示例:修改用户“lisi”两次改密码之间相距的最大天数改为30,即将密码有效期设为30天
方法二:vim /etc/login.defs
给新建的用户修改密码有效期(也就是修改完成后再新建的用户密码有效期直接就是你设定的值,而不是最大天数的99999)
-
输入命令进入文件配置:
可以看到系统默认的密码有效期为99999
-
这里修改为你想要设定的值(记得wq保存退出)
-
这时再新建的用户,密码的有效期直接为你设定的值
1.2.2 设定用户账号失效期
与账号密码有效期不同,用户账号到达失效期后,此用户账户将被系统作废
账号失效期位于用户账号文件的第8字段,默认值为空,表示账号永久可用
方法一:usermod -e 天数 用户名
方法二ÿ