系统安全及应用
一.系统账号清理
1. 将非登录用户的Shell设为/sbin/nologin
- usermod -s /sbin/nologin用户名
2. 锁定长期不使用的账号
- usermod -L用户名 passwd-l 用户名 --------------锁定账号
- passwd-S用户名 ----------------------------查看用户状态
- passwd -u 用户名 ------------------------------------解锁账号
3. 删除无用的账号
- userdel -r 用户名
4. 锁定账号文件passwd、shadow
- chattr +i /etc/passwd /etc/shadow --------------锁定文件
- Isattr /etc/passwd /etc/shadow-----------------------查看状态
- chattr -i /etc/passwd /etc/shadow-----------------解锁文件
锁定时候,无法创建用户和修改密码:
二. 密码安全控制
-
设置密码有效期
-
要求用户下次登录时修改密码
-
[root@localhost ~]# vi /etc/login.defs
#####修改密码配置文件,适用于新建用户
PASS_ MAX_ DAYS 30
- [root@localhost ~]# chage -M 30 lisi
######适用于已有用户
[root@localhost ~]# cat /etc/shadow | grep lisi
- [root@localhost ~]# chage -d 0 zhangsan
#####强制在下次登录时更改密码
[root@localhost ~]# cat /etc/shadow | grep zhangsan
#####shadow文件中的第三个字段被修改为0
三. 命令历史限制
-
减少记录的命令条数
-
登录时自动清空命令历史
-
[root@localhost ~]# vi /etc/profile
######系统环境变量配置文件(所有用户登录都会执行)
export HISTSIZE=200
- 登录时自动清空历史命令
[root@localhost ~]# source /etc/profile
[root@localhost ~]# vi ~/.bashrc
echo “” > ~/.bash_ history
重启后,再history查询输入历史命令:
四. 终端自动注销
- 闲置600秒后自动注销
- [root@localhost ~]# vi letc/profile
- export TMQUT=600
- [root@localhost ~]# source /etc/profile
五. 使用su命令切换用户
1. 用途及用法:
- 用途: Substitute User, 切换用户.
- 格式: su-目标用户
2. 密码验证:
- root→任意用户,不验证密码
- 普通用户→其他用户,验证目标用户的密码
iery@localhost~]$su-root
口令:。。。。
whoami----------------------查看当前的用户名
六. 限制使用su 命令的用户
-
将允许使用su命令的用户加入wheel组
-
启用pam_ _wheel认证模块
-
①:[root@localhost ~]# gpasswd -a tsengyia wheel
tsengyia
正在将用户“tsengyia’加入到"wheel"组中
- ②:[root@localhost ~]# vi /etc/pam.d/su
###########修改这个配置文件
#%PAM-1.0
auth sufficient pam_ rootok.so
# auth required pam_ wheel.so use uid-------取消注释
1:以上两行是默认状态(即开启第一行,注释第二行),这种状态下是允许所有用户间使用su命令进行切换的。
2:两行都注释也是运行所有用户都能使用su命令,但root下使用su切换到其他普通用户需要输入密码:如果第一行不注释,则root使用su切换普通用户就不需要输入密码(pam_ rootok. so模块的主要作用是使uid为0的用户,即root用 户能够直接通过认证而不用输入密码。)
3:如果开启第二行,表示只有root用户和whee1组内的用户才可以使用su命令。
4:如果注释第一-行, 开启第二行,表示只有wheel1组内的用户才能使用su命令,root用户也被禁用su命令。
启用pam_ _wheel认证以后,未加入到wheel组内的其他用户将无法使用su命令
查看 su操作记录:
安全日志文件:/var/log/secure