账号安全控制与sudo授权命令
一、账号安全控制
账号安全基本措施
■系统账号清理
●将非登录用户的Shell设为/sbin/nologin
usermod -S /sbin/nologin用户名
●锁定长期不使用的账号
1、usermod -L 用户名
2、passwd -l 用户名
3、passwd -S 用户名
4、usermod -U 用户名 #解锁
●清空一个账号密码
passwd -d 用户名 清空账户密码
●删除无用的账号(把宿主目录也会删除)
userdel [-r] 用户名
●锁定账号文件passwd、shadow
chattr +i /etc/passwd /etc/shadow 锁定文件并查看状态
Isattr /etc/passwd /etc/shadow
chattr -i /etc/passwd /etc/shadow.d 解锁文件
●chattr +i /etc/passwd /etc/shadow 锁定文件并查看状态
Isattr /etc/passwd /etc/shadow
●chattr -i passwd shadow 解锁文件
由于/etc/passwd和/etc/shadow都存放的用户账号信息,所以两个缺一不可,少一个都无法创建用户与更改密码
■密码安全控制
●设置密码有效期
●要求用户下次登录时修改密码
vim /etc/login.defs 修改密码配置文件适用于 新建用户
PASS_MAX_DAYS 30
chage -M 日期 用户 设置用户密码有效期
chage -E xxxx-xx-xx 设置过期日期
chage -d 0 用户 强制在下次登录时更改密码,因为在执行此命令后shadow文件中的第三个字段被修改为0
[root@localhost ~]# vi /etc/login.defs
PASS_MAX_DAYS 30(在/etc/login.defs中添加此命令)
[root@localhost ~]# chage -M 30 lisi (适用于已有用户)
[root@localhost ~]# cat /etc/shadow | grep lisi
其中:
chage -M设置已有用户密码有效天数
chage -E 设置密码的有效期(年月日)