一、账号安全控制
1、账号安全基本措施
(1)系统账号清理
a、将非登录用户的Shall设为/sbin/nologin
usermod -s/sbin/nologin 用户名
b、锁定长期不使用的账号
usermod -L 用户名 passwd -l 用户名
passwd -S 用户名
c、删除无用的账号
userdel-r用户名
d、锁定账号文件passwd、shadow
chattr +i/etc/passwd/etc/shadow(锁定文件并查看状态)
isattr /etc/passwd/etc/shadow
chattr -i/etc/passwd/etc/shadow(解锁文件)
账号安全管理
禁止程序用户登录 usermod -s /sbin/nologin 用户名
锁定禁用长期不使用的用户 passwd -l 用户名 usermod -L 用户名 #查看锁定账号状态 passwd -S 用户名
删除无效用户 userdel -r 用户名
禁止账号和密码的修改 chattr +i /etc/passwd /etc/shadow #查看锁定文件状态 lsattr 文件名
(2)密码安全控住
a、设置密码有效期
b、要求用户下次登录时修改密码
root@localhost\~# vi/etc/login.defs(修改密码配置文件适用于新建用户)
PASS_MAX_DAYS 30
root@localhost\~# chage-M 30 lisi(适用于已有用户)
root@localhost\~# cat/etc/shadow | grep lisi
root@localhost\~# chage -d 0 zhangsan(强制在下次登录时更改密码)
root@localhost\~# cat /etc/shadow | grep zhangsan(shadow文件中的第三个字段被修改为0)
密码安全管理
设置密码有效期 chage -M 天数 用户名 #针对已存在的用户,天数为 99999 表示为永不过期
vim /etc/login.defs --> PASS_MAX_DAYS 天数 #针对新建的用户
强制用户下一次登录修改密码 chage -d 0 用户名
(3)命令历史限制
a、减少记录的命令条数
b、登录时自动清空命令历史
(4)终端自动注销
a、闲置600秒后自动注销
历史命令安全管理
查看历史命令 history
限制历史命令数量 vim /etc/profile --> export HISTSIZE=XX --> source /etc/profile
清空历史命令 history -c #临时清空
vim /etc/profile --> > ~/.bash_history
2、使用su命令切换用户
(1)限制使用su命令的用户
a、将允许使用su命令的用户加入wheel组
b、启用pam_wheel认证模块
限制su切换用户
1)将信任的用户加入到wheel组中 gpasswd wheel -a 用户名
2)修改su的PAM认证配置文件 vim /etc/pam.d/su -> 开启 auth required pam_wheel.so use_uid 的配置
ssh远程登录输入三次密码错误则锁定用户
vim /etc/pam.d/sshd
auth required pam_tally2.so deny=3 unlock_time=600 even_deny_root root_unlock_time=600
sudo提权
visudo vim /etc/sudoers (要用 wq! 强制保存)
#用户/组授权
用户名 主机名=程序列表 #命令要用绝对路径表示,支持使用通配符 * 表示所有, ! 表示取反
%组名 主机名=程序列表
用户名 主机名=NOPASSWD: 程序列表 #NOPASSWD: 表示sudo不用密码验证
#别名设置
User_Alias 大写别名=用户1, 用户2, ...
Host_Alias 大写别名=主机名1, 主机名2, ...
Cmnd_Alias 大写别名=命令路径1, 命令路径2, ...
用户别名 主机别名=命令别名
#设置sudo日志路径
Defaults logfile = "/var/log/sudo.log"
sudo -l #普通用户查看有哪些sudo权限
如何查看进程是否已经开启?
systemctl status 进程名
ps aux/-elf | grep 进程名
netstat/ss -lntup | grep 进程名/:端口
lsof -i :端口
如何通过端口查看进程号?
netstat -lntup | grep :端口
ss -lntup | grep :端口
lsof -i :端口