一、账号安全基本措施
1.1 系统账号清理
将用户设置为无法登陆
锁定账户
删除账户
锁定账户密码 本地锁定
1.1.1 将用户设置为无法登陆
方法1:chsh -s修改
方法2:usermod -s
1.1.2 锁定用户
usermod -L lisi #锁定账户
usermod -U lisi #解锁账户
passwd -l lisi #锁定账户方
passwd -u lisi #解锁账户1.1.3 删除账户
userdel 用户名 #删除用户
1.1.4 chattr 锁定重要配置文件(passwd 、shadow、fstab等)
lsattr /etc/passwd /etc/shadow #查看文件的状态
chattr +i /etc/passwd /etc/shadow #锁定文件
chattr -i /etc/passwd /etc/shadow #解锁文件1.2 密码安全控制
1.2.1 设置密码规则
1.适用于新建用户
vim /etc/login.defs #修改配置文件
-----此处省略部分注释及配置-------
PASS_MAX_DAYS 30 #修改密码有效期为30天
2.适用于已有用户
chage -M 30 zhangsan #修改密码有效期
3.强制在下次登录成功时修改密码(/etc/shadow第三个字段被修改为0)
chage -d 0 zhangsan #设置下次登录强制修改密码
1.3 命令历史
export HISTSIZE=200
#临时修改历史命令条数为200条
四、切换和限制用户、pam
4.1 su:切换用户
可以切换用户身份,并且以指定用户的身份执行命令
su 不加- 不安全的切换,继承上个用户
su 加- 安全的切换
4.2 PAM 安全认证
pam 插件式的验证模块
当用户来访问某一程序的时候如果这个时候启用了pam模块。会先去读取配置文件。然后按照配置文件调用模块进行操作。
service ------> PAM(配置文件)------>pam_*.so(配置)
/usr/lib64/security 存放功能模块
/etc/security 复杂的配置文件
