1.注释掉系统不需要的用户和用户组。不建议直接删除,当你需要某个用户时,自己重新添加会很麻烦。
cp /etc/password /var/.bak/etc //欲修改,先备份
vim /etc/passwd //编辑账号配置文件
cp /etc/group /var/.bak/etc
vim /etc/group //备份并编辑组账号配置文件
在用户名前加“#”号,便可注释掉。
最小的权限+最少的服务=最大的安全
2.将非登录用户的Shell设为/sbin/nologin
usermod -s /sbin/nologin user00 //不让用户名为user00的账号登录
3.锁定一段时间内不使用的账号
usermod -L user00 //实际是在账号口令的开头加了一个“!”,“!”表示这个密码不能用了。
4.给账号,组账号、账号口令文件加上不可更改属性(加锁),从而防止非授权用户获得权限
chattr +i /etc/paawd
chattr +i /etc/shadow //账号口令文件
chattr + i /etc/group
chattr +i /etc/gshadow //组账号口令文件
lsattr /etc/passwd /etc/shadow /etc/group /etc/gshadow //查看以上文件属性 执行以上权限修改后就无法添加删除用户了
#chattr -i /etc/passwd //通过这个命令解锁 将相关文件解锁后就可以添加删除用户或修改密码了,操作完成后再锁定
5.账号口令的安全设置:
设置密码有效期与最短长度限制,要求用户下次登录时修改密码。
vim /etc/login.defs //只适用于新建账号
PASS_MAX_DAYS 90 //密码最长使用天数改为90天
PASS_MIN_DAYS 0 //密码最短使用天数
PASS_MIN_LEN 8 //密码最短长度为8,必要情况改为14
PASS_WARN_AGE 7 //更改口令提醒天数
chage -M 30 likui //修改已存在账号密码的有效期
chage -d 0 likui //强制在下次登录时更改密码
6.命令历史限定
减少记录的命令条数
注销时自动清空历史命令记录
vim /etc/profile
//修改下面环境变量的值
HISTSIZE=50
vim ~/.bash logout
//添加下面两行
history -c
clear
7.终端自动注销
闲置600秒后自动注销
vim ~/.bash profile
//在行尾添加下面的环境变量
export TMOUT=600
8.使用sudo机制提升权限
配置sudo授权
visudo 或 vim /etc/sudoers
记录格式:用户 主机名列表=命令程序列表
vim /etc/sudoers
编辑: root ALL=(ALL) ALL
%wheel ALL=(ALL) ALL
user00 localhost=/sbin/*,!/sbin/ifconfig,!/sbin/route
当有大量用户需要授权的话,使用Cmnd_Alias指令组别名,User_Alias用户组别名,Host_Alias主机组别名
sudo ifconfig