Linux_系统安全及应用

一.系统账号清理

1. 将非登录用户的Shell设为/sbin/nologin

• usermod -s /sbin/nologin用户名

2. 锁定长期不使用的账号

• usermod -L用户名 passwd-l 用户名 --------------锁定账号
• passwd-S用户名 ----------------------------查看用户状态
• passwd -u 用户名 ------------------------------------解锁账号

3. 删除无用的账号

• userdel -r 用户名

4. 锁定账号文件passwd、shadow

• chattr +i /etc/passwd /etc/shadow --------------锁定文件
• Isattr /etc/passwd /etc/shadow-----------------------查看状态
• chattr -i /etc/passwd /etc/shadow-----------------解锁文件

锁定时候，无法创建用户和修改密码：

二. 密码安全控制

• 设置密码有效期

• 要求用户下次登录时修改密码

• [root@localhost ~]# vi /etc/login.defs
  #####修改密码配置文件，适用于新建用户
  PASS_ MAX_ DAYS 30

• [root@localhost ~]# chage -M 30 lisi
  ######适用于已有用户
  [root@localhost ~]# cat /etc/shadow | grep lisi

• [root@localhost ~]# chage -d 0 zhangsan
  #####强制在下次登录时更改密码
  [root@localhost ~]# cat /etc/shadow | grep zhangsan
  #####shadow文件中的第三个字段被修改为0

三. 命令历史限制

• 减少记录的命令条数

• 登录时自动清空命令历史

• [root@localhost ~]# vi /etc/profile
  ######系统环境变量配置文件（所有用户登录都会执行）
  export HISTSIZE=200

• 登录时自动清空历史命令
  [root@localhost ~]# source /etc/profile
  [root@localhost ~]# vi ~/.bashrc
  echo “” > ~/.bash_ history

重启后，再history查询输入历史命令：

四. 终端自动注销

• 闲置600秒后自动注销
• [root@localhost ~]# vi letc/profile
• export TMQUT=600
• [root@localhost ~]# source /etc/profile

五. 使用su命令切换用户

1. 用途及用法:

• 用途: Substitute User, 切换用户.
• 格式: su-目标用户

2. 密码验证:

• root→任意用户，不验证密码
• 普通用户→其他用户,验证目标用户的密码

iery@localhost~]$su-root
口令：。。。。
whoami----------------------查看当前的用户名

六. 限制使用su 命令的用户

• 将允许使用su命令的用户加入wheel组

• 启用pam_ _wheel认证模块

• ①：[root@localhost ~]# gpasswd -a tsengyia wheel

tsengyia
正在将用户“tsengyia’加入到"wheel"组中

• ②：[root@localhost ~]# vi /etc/pam.d/su
  ###########修改这个配置文件
  #%PAM-1.0
  auth sufficient pam_ rootok.so
  # auth required pam_ wheel.so use uid-------取消注释

1：以上两行是默认状态(即开启第一行，注释第二行)，这种状态下是允许所有用户间使用su命令进行切换的。
2：两行都注释也是运行所有用户都能使用su命令，但root下使用su切换到其他普通用户需要输入密码:如果第一行不注释，则root使用su切换普通用户就不需要输入密码(pam_ rootok. so模块的主要作用是使uid为0的用户，即root用 户能够直接通过认证而不用输入密码。)
3:如果开启第二行，表示只有root用户和whee1组内的用户才可以使用su命令。
4:如果注释第一-行， 开启第二行，表示只有wheel1组内的用户才能使用su命令，root用户也被禁用su命令。

启用pam_ _wheel认证以后，未加入到wheel组内的其他用户将无法使用su命令

查看 su操作记录：

安全日志文件：/var/log/secure