目录
一、账号安全控制
控制账号安全基本措施:
① 将非登录用户的Shell 设为/sbin/nologin
② 锁定长期不使用的账号
passwd -l 账户名 锁定账户
passwd -u 账户名 解锁账户
③ 删除无用账号
④ 锁定账号文件passwd、shadow(冻结不让创建新用户)
锁定账号文件(或者普通文件)禁止修改、写入、删除
chattr -i /etc/passwd /etc/shadow
解锁账号文件(或者普通文件)
lsattr /etc/passwd /etc/shadow
例如:锁定账户文件,禁止创建新用户
解锁账户文件
例如2:
把opt 目录下的ceshi文件锁定,对其验证是否可以删除和修改、查看
结果:锁定后只能查看,不可以修改和删除
二、密码安全控制
措施① 设置密码有效期
更改账户的有效期 :chage -M 30 wangwu
② 要求用户下次登录时修改密码
强制下次登录时修改密码: chage -d 0 wangwu
例如一:将老用户zhangsan账户有效期改为30天
通过chage -l 查看
例如二:新建账户,修改其密码有效期为30天
“/etc/login.defs” 文件是当创建一个用户时的一些规划,比如创建用户时,是否需要家目录,UID和GID的范围以及用户的期限等等,这个文件是可以通过root来定义的
文件内容:
把PASS_MAX_DAYS: 密码最长有效期99999改为30时,新增账户密码有效期变为30天。
修改后,新建的用户按设置的规则来,之前的用户不变。
三、历史命令限制
想要减少历史记录的命令条数,我们可以先进入/etc/profile环境变量配置文件中进行设置,保存退出后将其设置为生效,命令为: source /etc/profile,或者直接重启。
1.减少历史记录的命令条数
Ⅰ 、修改全局的历史记录配置,生效与所有用户和终端 vim /etc/profile
source /etc/profile 重新加载文件至其更改生效
重新加载生效
验证:
Ⅱ 、修改ROOT用户的历史记录配置信息,只对ROOT用户生效
cd ~
ls -a
vim .bash_profile
source .bash_profile 重新加载文件
2.注销时自动清空历史记录
①先清空家目录下.bash_history 中的所有内容
② 编辑 .bash_logout
③ reboot
四、sudo机制提升权限
功能:以其他用户身份(如root)执行授权的命令
vim /etc/sudoers 进入并进行编辑:或者直接 visudo
字段1:
不以%开头的表示”将要授权的用户“为 root
以%开头的表示”将要授权的组“ 为 wheel
字段2:表示运行登录的主机名
ALL 表示所有;如果该字段不为ALL,表示授权用户只能在指定机器上登录来使用sudo命令
字段3:如果省略,相当于(root:root),表示可以通过sudo提权到root;如果为(ALL)或者(ALL:ALL),表示能够提权到(任意用户:任意用户组)
字段4:可能取值是NOPASSWD:。请注意NOPASSWD后面带有冒号:。表示执行sudo时可以不需要输入密码
字段5:授权给用户的操作,命令行用绝对路径
验证:
五、netstat
功能:用来显示网络状态
常用选项:
-a:--all,显示所有链接和监听端口
-l:--listening,显示所有监听的端口
-u:所有的 udp 协议的端口
-t:所有的 tcp 协议的端口
-p:--programs,与链接相关程序名和进程的PID
-n:进制使用域名解析功能