一、系统账号清理
- 将非登录用户的shell设为不可登录:usermod -s /sbin/nologin 禁止用户登录
usermod -s /bin/false 禁止用户登录 - 锁定长期不使用的账号 :usermod -L 锁定用户账户
passwd -l 锁定用户账户 - 删除无用的账号:userdel -r 用户名
- 锁定账号文件:chattr +i /etc/passwd /etc/shadow 锁定账号文件
lsattr /etc/passwd /etc/shadow 查看账号文件
chattr -i /etc/passwd /etc/shadow 解锁账号文件
二、密码安全控制
1、设置密码有效期
对新建用户:修改密码配置文件 vi /etc/login.defs,对PASS_MAX_DAYS后面的数值进行修改,默认值为99999
对已有用户:使用chage配置查看用户密码到期设置,使用-M选项
保存并退出
对已有用户:
2、要求用户下次登陆时更改密码
使用chage -d 0 dypd
三、历史命令的限制
减少命令的记录条数
登陆时自动清空命令历史
全局模式下编辑文件:
使用命令vi ~/.bashrc进行无值覆盖
四、su及sudo 基本知识
su相关知识
默认情况下,所有用户都可以使用su 命令,有机会尝试其他用户的登陆密码,带来安全风险
用法:su 用户名称
密码验证:root用户切换到普通用户。不需要密码
sudo 机制提升权限,以其他用户身份执行授权的命令
有两个配置文件,vi /etc/sudoers visudo
记录格式为:用户 主机名=命令列表 ,多个命令用逗号相隔
配置授权:
sudo 执行命令