1 账号安全基本措施
1.1 系统账号清理
1.1.1 将非登录用户的Shell设为/sbin/nologin
在我们使用Linux系统时,除了用户创建的账号之外,还会产生系统或程序安装过程中产生的许多其他账号,除了超级用户root外,其他账号都是用来维护系统运作的,一般不允许登录,常见的非登录用户有bin、adm、mail、lp、nobody、ftp等。
使用usermod命令修改登录shell:
usermod -s /sbin/nologin 用户名
1.1.2 锁定长期不使用的账号
方法一:
passwd -l 用户名 //锁定用户
passwd -u 用户名 //解锁用户
方法二:
usermod -L 用户名 //锁定用户
usermod -U 用户名 //解锁用户
1.1.3 删除无用的账号
userdel 用户名 //删除用户,但不删除用户的家目录
userdel -r 用户名 //删除用户的同时,删除他的家目录
1.1.4 锁定账号文件passwd、shadow
chattr [-RV] [+/-/=<属性>] 文件或目录 //改变文件属性
lsattr 文件或目录 //查看文件底层属性
-R:递归处理,将指定目录下的所有文件及子目录一并处理。
-V:显示指令执行过程。
属性 作用
a(append) 只允许对文件进行追加操作(适用于日志文件)
A 不允许更新文件的访问时间
i (immutable) 在文件上启用这个属性时,我们不能更改、重命名或删除这个文件
j (journaling) 设置了这个属性时,文件的数据首先保存在日志中,然后再写入文件
使用”chattr +i“为文件增加i属性,之后不能更改、重命名或删除这个文件。
[root@localhost ~]# chattr +i /etc/passwd /etc/shadow //为两个文件增加i属性
[root@localhost ~]# lsattr /etc/passwd /etc/shadow //查看文件底层属性
----i----------- /etc/passwd
----i----------- /etc/shadow
[root@localhost ~]# useradd mike //尝试创建用户,创建失败
useradd:无法打开 /etc/passwd
[root@localhost ~]# chattr -i /etc/passwd /etc/shadow //去掉两个文件的i属性
[root@localhost ~]# lsattr /etc/passwd /etc/shadow
---------------- /etc/passwd
---------------- /etc/shadow
1.2 密码安全控制——设置密码规则
一般通过设置密码规则来控制密码安全,主要设置以下两点:
设置密码有效期
要求用户下次登录时修改密码
1.2.1 对于新建用户——修改/etc/login.defs文件
注意