账号安全控制

系统账号清理

锁定长期不使用的账号

删除无用的账号

userdel -r +用户名

锁定账号文件

chattr

-a 让文件或目录仅供附加用途。只能追加

-i 不得任意更动文件或目录

密码安全控制

设置密码的有效期

适用于已有用户

执行 vim /etc/login.defs 命令

chage

-m：密码可更改的最小天数。为零时代表任何时候都可以更改密码。

-M：密码保持有效的最大天数。

-w：用户密码到期前，提前收到警告信息的天数。

-E：帐号到期的日期。过了这天，此帐号将不可用。

-d：上一次更改的日期。

-i：停滞时期。如果一个密码已过期这些天，那么此帐号将不可用。

-l：例出当前的设置。由非特权用户来确定他们的密码或帐号何时过期。

要求用户下次登陆时修改密码

chage -d 0 lyn ####强制lyn下一次登录一定修改密码

chage -M 30 lyn ###设置密码有效期为30天

历史命令限制

减少历史命令条数

vi /etc/profile

登录时自动清空历史命令

vi ~/.bashrc

echo"" > ~/.bash_history

终端自动注销

vi /etc/profile

进入编辑器插入

export TMOUT=600 ###闲置600秒之后自动注销，时间 可自行更改

source /etc/profile ###刷新

限制用户使用su切换用户

把允许使用su切换的用户加入到wheel组中 使用gpasswd/usermod 命令 把用户添加到wheel组

gpassswd -a USER NAME wheel

1.以上两行是默认状态(即开启第一行，注释第二行)，这种状态下是允许所有用户间使用su命令进行切换的。

2.两行都注释也是运行所有用户都能使用su命令，但root'下使用su切换到其他普通用户需要输入密码;如果第一行不注释，则root使用su切换普通用户就不需要输入密码(pam rootok. so模块的主要作用是使uid为0的用户，即root用户能够直接通过认证而不用输入密码。)

3.如果开启第二行，表示只有root用户和wheel组内的用户才可以使用su命令

4.如果注释第一行，开启第二行，表示只有whee1组内的用户才能使用su命令，root用户也被禁用su命令。