系统账号清理
将用户设置为无法登录
chsh -s /sbin/nologin 用户名
锁定账户
passwd -l 用户名 锁定用户密码
passwd -u 用户名 解锁用户密码
删除账户
userdel -r 用户名
锁定配置文件
chattr
-a 只能追加
-i 不能更动文件或目录
密码安全控制
新建用户
修改/etc/login.defs文件内容
已有用户 chage
chage 用户名
要求用户下次登录时修改密码 chage -d 0 用户名
命令历史
history -c 临时清除历史命令
vim.bash_logout
退出后清除
~/.bash_logout
echo " " >~/.bash_history
开机后清除
vim.bashrc
echo " " >/.bahs_history
切换用户
su 不加- 不完全的切换
su 加- 完全的切换
root su到其他用户无需密码,非root用户切换需要密码
注意:su切换新用户后,使用exit退回旧用户
限制使用su命令的用户
vim /etc/pam.d/su
auth sufficient pam_ rootok.so
#auth required pam_ wheel.so use_ _uid
以上两行是默认状态(即开启第一行,注释第二行),这种状态下是允许所有用户间使用su命令进行切换的;
两行都注释也是允许所有用户都能使用su命令,但root'下使用su切换到其他普通用户需要输入密码;如果第一行不注释,则root使用su切换普通用户就不需要输入密码;
如果开启第二行,表示只有root用户和wheel组内的用户才可以使用su命令
如果注释第一行,开启第二行,表示只有whee1组内的用户才能使用su命令,root用户也被禁用su命令
pam安全认证
pam专用配置文件/etc/pam.d/格式
type control module-path arguments
模块类型 控制位 程序文件路径名 参数
control(控制位)
required 一票否决 如果失败,最后一定失败,但是会继续进行验证
requisite 一票否决 如果失败,会立即结束验证,反馈失败
sufficient 验证成功立即返回,不再继续,否则忽略结果并继续
shell模块
检查有效shell
pam_shell.so只允许规定的shell类型通过,是在/etc/shells文件中存在的类型通过
securetty模块
只允许root用户在/etc/securetty列出的安全终端上登录
pam_nologin.so模块
如果/etc/nologin文件粗在,非root用户不能登录。但不影响su登录
limit
控制用户可使用的资源限制
sudo 提权操作
root ALL=(ALL) ALL
root 哪个用户要使用命令
ALL 哪台主机
(ALL) 以谁的身份运行
ALL 哪个命令
grub加密
grun2-setpassword