一、账号安全基本措施
1、系统账号清理
-
将非登录用户的Shell设为/sbin/nologin
-
锁定长期不使用的账号
-
删除无用的账号
-
锁定账号文件passwd、shadow
chattr +i /etc/passwd ###锁定文件
lsattr /etc/passwd ###查看状态
chattr -i /etc/passwd ###解锁文件
1.锁定文件查看
2.锁定/etc/passwd、还能修改密码因为密码有/etc/shadow管理
3.将/etc/shadow上锁后就不能修改密码了
2、密码安全控制
-
设置密码有效期
-
要求用户下次登录时修改密码
chage:密码失效是通过此命令来管理的。
参数意思:
-m 密码可更改的最小天数。为零时代表任何时候都可以更改密码。
-M 密码保持有效的最大天数。
-W 用户密码到期前,提前收到警告信息的天数。
-E 帐号到期的日期。过了这天,此帐号将不可用。
-d 上一次更改的日期
-I 停滞时期。如果一个密码已过期这些天,那么此帐号将不可用。
-l 例出当前的设置。由非特权用户来确定他们的密码或帐号何时过期
3、命令的历史限制
source /etc/profile ###刷新
./etc/profile ###另一种刷新方式
vim ~/.bash_history ###历史命令记录存储在.bash_history里
echo " " > .bash_history ###清空历史命令记录 .bash_history
history -c ###临时删除
限制命令长度
在vim /etc/profile空白处添加
export HISTSIZE=100 就可以限制只显示100行
保存退出,再用source 刷新一下就OK
要想永久删除历史记录就在文件配置里面写一行代码
在.bashrc配置文件里面加入一行代码
echo " ">~/.bash_history
保存退出,重启就可
二、使用su命令切换用户
1、用途
- 用途:Substitute User,切换用户
- 格式:su - 目标用户
2、PAM安全验证
控制类型也称做Control Flags,用于PAM验证类型的返回结果
- required验证失败时仍然继续,但返回Fail。
- requisite验证失败则立即结束整个验证过程,返回Fail。
- suffcient验证成功则立即返回,不再继续,否则忽略结果并继续。
- optional不用于验证,只显示信息(通常用于session)。
三、使用sudo机制提升权限
1、sudo命令用途
- 用途:以其他用户身份如root执行授权的命令
- 用法:sudo授权命令
2、sudo命令参数
sudo [选项] 命令
-l:列出用户在主机上可用的和被禁止的命令,一般配置好/etc/sudoers后,要用这个命令来查看和测试是不是配置正确的;
-v:验证用户的时间戳,如果用户运行sudo后,输入用户的密码后,在短时间内可以不用输入口令来直接进行sudo操作
-v:可以跟踪最新的时间戳
-u:指定以以某个用户执行特定操作
-k删除时间戳,下一个sudo命令要求用求提供密码
(1)在lisi用户下挂载时,没有权限
(2)在visudo里面给lisi用户提权限,找到root字符所在的行插入如下图
(3)解挂载也是一样的在这个配置文件
3、用户别名
用户别名的语法格式:
1、User_Alias
用户别名:包含用户、用户组(%组名(使用%引导))、还可以包含其他其他已经用户的别名User_Alias OPERATORS=zhangsan,tom, lisi。
2、Host_Alias
主机别名:主机名、IP、网络地址、其他主机别名!取反Host_Alias MAILSVRS=smtp, pop。
3、Cmnd_Alias
命令路劲、目录(此目录内的所有命令)、其他事先定义过的命令别名cmnd_Alias PKGTOOLS=/ bin/ rpm,/ usr/bin/yum。