目录
账号安全基本措施
系统账号清理
将非登录用户的shell设为/sbin/nologin
锁定长期不使用的账号
删除无用的账号
锁定账号文件passwd、shadow
密码安全控制
设置密码有效期
要求用户下次登录时修改密码
命令历史限制
减少记录的命令条数
注销时自动清空命令历史
终端自动注销
闲置600秒后自动注销
锁定账户
passwd -l
usermod -L
删除账户
userdel -r
家目录的这些文件只对自己的用户的有效
.bash_logout:退出用户后会执行里面的命令
.bash_profile:登录用户前执行里面的命令
.bashrc:登录用户前执行里面的命令
/etc/profile 全局有效对所有用户有效
限制历史命令长度
vim /etc/profile
export HISTSIZE=100
#全局 生效 命令长度100
历史记录history命令
查看历史输入命令:history
history记录存放文件:~/.bash_history
临时清空命令:history -c
永久清空:echo " ">~/.bash_history,然后history -c清空缓存的记录
su命令
用于切换用户
su - 切换的比较彻底
su 有限的切换
管理员切换到普通用户不需要输入密码
密码验证
root→任意用户,不验证密码
普通用户→其他用户,验证目标用户的密码
auth type 你想检测系统的哪一种安全性
用户身份 auth
用户有效期 account
用户密码 passwd
会话要求 session
su命令
vim /etc/pam.d/su
开启第六行 禁止普通用户使用su命令,但是管理员组wheel中的成员可以使用
文中第一行 实际第二行
文中第二行 实际第六行
2 # auth sufficient pam_ rootok.so
6 #auth required pam_ wheel.so use_ _uid
a)以上两行是默认状态(即开启第一行,注释第二行),这种状态下是允许所有用户间使用su命令进行切换的。
b)两行都注释也是允许所有用户都能使用su命令,但root'下使用su切换到其他普通用户需要输入密码;如果第一行不注释,则root使用su切换普通用户就不需要输入密码(pam rootok. so模块的主要作用是使uid为0的用户,即root用户能够直接通过认证而不用输入密码。)
c)如果开启第二行,表示只有root用户和wheel组内的用户才可以使用su命令
d)如果注释第一行,开启第二行,表示只有whee1组内的用户才能使用su命令,root用户也被禁用su命令。
sudo命令
以其他用户身份(如root)执行授权的命令
sudo 授权命令
配置文件命令
visudo 或者是 vim /etc/sudoers.d/
这个文件里可以规定可以执行哪些命令
root ALL=(ALL) ALL
可以执行命令的用户名 哪台主机=以谁的身份运行 可以执行的命令
lisi ALL=默认为root 可不填 /usr/bin/mount /dev/sr0 /mnt
lisi ALL=/usr/bin/*,!/usr/bin/cat
在后面的命令生效,如果和前面冲突,以后面为准
通配符 *有个小问题 需要注意
sudo特性
sudo能够授权指定用户在指定主机上运行某些命令。如果未授权用户尝试使用 sudo,会提示联系管理员
sudo提供了丰富的日志,详细地记录了每个用户干了什么。它能够将日志传到中心主机或者日志服务器
sudo使用时间戳文件来执行类似的“检票”系统。当用户调用sudo并且输入它的密码时,用户获得了一张存活期为5分钟的票
sudo的配置文件是sudoers文件,它允许系统管理员集中的管理用户的使用权限和使用的主机。它所存放的位置默认是在/etc/sudoers,属性必须为0440