账号安全基本措施
系统账号清理
- 将非登陆用户的shell设为/sbin/nologin
- 锁定长期不使用的账号
- 删除无用的账号
- 锁定账号文件passed、shadow
账号安全基本措施
密码安全控制:
设置密码有效期
要求用户下次登录时修改密码
/etc/login.defs 配置解读
PASS_MAX_DAYS 99999
#密码最大有效期
PASS_MIN_DAYS 0
#两次修改密码的最小间隔时间
PASS_MIN_LEN 5
#密码最小长度,对于root无效
PASS_WARN_AGE 7
#密码过期前多少天开始提示
UID_MIN
#用户ID得最小值
UID_MAX
#用户ID的最大值
GID_MIN
#组ID的最小值
GID_MAX
#组ID的最大值
#USERDEL_CMD /usr/sbin/userdel_local
#当删除用户的时候执行的脚本
CREATE_HOME yes
#使用useradd的时候是够创建用户目录
USERGOUPS_ENAB yes
#指定删除用户的时候是否同时删除用户组,准确的说,这里指的是删除有的初始组
UMASK
用户主目录的权限默认设置为077(文件目录默认为022,注释里面有这方面介绍)
MAIL_DIR /var/spool/mail
#创建用户时,要在目录/var/spool/mail中创建一个用户mail文件
ENCRYPT_METHOD SHA512
#指定用户密码采用的加密规则,默认采用SHA512,这是新的密码加密模式,原先的Linux只能用DES或MD5加密
SU_WHEEL_ONLY yes
只允许wheel组用户可以使用su
chatter,锁定文件,不能删除,不能修改
加锁:chattr +i /etc/passwd 文件不能删除,不能更改,不能移动
查看加锁: lsattr /etc/passwd 文件加了一个参数 i 表示锁定
解锁:chattr -i /home/omd/h.txt - 表示解除
+a:只能给文件添加内容,但是删除不了
-a: 解锁
i:仅可读
a:可读,可 追加内容,其他都不可
chage用法
由信息可以得知chage是针对用户密码进行的,但是也不全是针对密码,因为chage有个选项,是针对账户修改的
注:只有 root 才可以使用 chage
命令:
chage -l 用户名 列出明细
-h,–help —— 显示此帮助信息并退出
-E,–expiredate 过期日期 ——将账号过期时间设为“过期日期”
-d,–lastday 最近日期 ——将最近一次密码设置时间设为“最近日期”
-I,–inactive INACITIVE ——过期INACTIVE天数后,设定密码为失效状态
-m,–mindays 最小天数 ——将两次改变密码之间相距的最小天数设为“最小天数”
-M,–maxdays 最大天数 ——将两次改变密码之间相距的最大天数设为“最大天数”
-R,–root CHROOT_DIR ——chroot 到的目录
-W,–warndays 警告天数 ——将过期警告天数设为“警告天数”
账号安全基本措施
- 命令历史限制
减少记录的命令条数
注销时自动清空命令历史 - 终端自动注销
闲置600秒后自动注销
.bash_profile 登入
.bash_logout 登出
.bash alish 设置别名
.bash_history 历史
vim source .bash_profile 可以改自动登出时间
source .bash_profile 自动登出
history用法
通过history命令可以查看我们在系统中输入过的命令
history 查看打了多少命令(从登录账号开始)
-d # 删除指定的历史命令,比如 history -d 100 ,就是删除第100个命令历史
#:显示最近的条历史,例如:history 20 ,表示显示最近的20条命令历史
-a: 追加本次会话新执行的命令历史列表至历史文件
-n: 将历史文件中未读过的行加载到内存中的历史列表,方便多个终端同步内存中的命令历史。
-r: 读取历史文件中的所有历史命令到内存中的历史列表,即使内存中的列表中已经存在这条历史。
-w: 保存内存中历史列表到指定的历史文件,history -w ./test 把历史写入到当前目录的test文件中
-c:清空缓存记录
-s: 伪造命令历史,比如history -s rm -rf /opt,这样写并不会执行删除opt目录的操作,只是把这条没有执行的"命令"加入到了历史中。
! 编号 再次执行某个命令
! !
vim /etc/profile
source /etc/profile
history
1021
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
