2019/6/18 —
此文章是关于liunx系统安全加固第一篇用户账号安全优化。
用户账号安全优化的基本措施:
1、删除不使用的账号、禁用暂时不使用的账号。
添加用户
useradd test01
设置密码
passwd test01
echo "krystal" | passwd --stdin test01
查看添加用户信息
tail -l /etc/passwd
查看添加用户密码信息
tail -l /etc/shadow
删除用户
userdel test01 不会删除家目录
userdel test01 -r 删除主目录和邮件池
查找关于用户的信息和密码
grep test01 /etc/passwd
grep test01 /etc/shadow
查找关于用户的文件
find / -user test01
删除关于用户的文件
find / -user test01 -exec ls -l {} \;
rm -rf 文件名
杀死属于该用户的进程或打印任务
pkill -u test01 ---杀死属于该用户的进程
/etc/passwd 账号文件
/etc/shadow 密码文件
禁用一个用户
修改密码文件
vi /etc/shadow --将密码部分修改
passwd -S test01 查看
锁定用户
passwd -l 锁定指定账号的密码。
passwd -l test01
passwd -S test01 查看状态。
passwd -u 解锁指定账号的密码。
usermod -L 锁定用户账号
usermod -U 解锁用户账号
grep test04 /etc/shadow
两者的差别:passwd 禁用用户添加两个!!
usermod 禁用用户添加一个!
2、检查程序用户的登录shell是否异常。
例如ftp的用户,只允许登录ftp
/sbin/nologin ---登录shell是不允许登录到系统的
/bin/false ---登录shell是不允许登录到系统的
查看登录shell
grep test01 /etc/passwd
echo $SHELL
finger test01
更改用户的登录shell
usermod -s /sbin/nologin test01
3、强制用户定期修改密码(设置密码有效期)
对于采用静态口令认证技术的设备,账户口令的生存期不长于90天,减少口令安全隐患。
cat /etc/login.defs 查看配置文件
vi /etc/login.defs 修改配置文件
PASS_MAX_DAYS 90 --- 默认99999
PASS_MIN_DAYS 0
4、增强普通用户的密码强度。
对于采用静态口令认证技术的设备,口令长度至少8位,防止系统弱口令的存在,减少安全隐患。
cat /etc/login.defs 查看配置文件
vi /etc/login.defs 修改配置文件
PASS_MIN_LEN 8 ---默认5
5、减少记录命令历史的条数。
cat /etc/profile
vi /etc/profile
HISTSIZE= 500 默认1000
6、设置在命令行界面中超时自动注销。
echo "TMOUT=600" >> /etc/profile
让/etc/profile文件修改后立即生效 ,可以使用如下命令:
. /etc/profile