Linux系统安全及应用

一、账号安全

（1）系统账号清理 可以将不是登录用户的shell设为禁止登陆，如果有登陆需求可以进行解除禁止

usermod -s /bin/bash 用户名 
//指定该用户允许登陆shell usermod -s /sbin/nologin 用户名 //指定该用户禁止登陆shell

锁定长期无操作账号，如果有需求可以进行解锁

usermod -L 用户名 //锁定该用户 usermod -U 用户名 //解锁该用户

锁定账号文件，防止被操作修改文件内容

charrt +i 文件位置 //锁定文件 charrt -i 文件位置 //解锁文件

（2）密码安全

设置密码的有效时间，防止密码长时间使用导致被外部破解

chage -M 天数 用户 //设置该用户密码有效期 vi /etc/login.defs //可以配置新用户密码有效期

强制此用户在下次登陆时进行更改密码操作

chage -d 0 用户名 //强制下次登陆修改密码

二、命令权限

（1）切换用户

用户在有一定需求的时候可以进行切换一些有较高权限的用户

su 用户名 //切换用户

（2）PAM认证

为了防止一些用户进行无用功的用户切换导致文件数据受损进行设置一定权限认证

一般遵循的顺序

Service（服务）→PAM（配置文件）→pam_*.so

文件位置

PAM的配置文件位于/etc/pam.d

最后调用认证文件位于/lib/security

vi /etc/pam.d/su //进入su权限文件

auth sufficient pam_rootok.so 
//第一行，意义是使root用户可以不需要密码进行切换用户，关闭只需要在前方加符号
# auth required pam_wheel.so use_uid 
//第二行，意义是启用pam_wheel认证模块，启用后只有加入wheel组和root用户可以使用su命令，打开只需要删除前方符号#

查看某个程序是否支持PAM认证 ls /etc/pam.d | grep 命令 //查看命令是否支持

（3）用户提升权限

有些特殊岗位可能需要提升一部分权限，此命令可以单独给某个用户赋予某些权限

sudo 需要赋权的命令
//使用赋权的命令 vi /etc/sudoers 
//赋权文件位置，里面可以进行配置给某用户赋予某命令权限 用户 主机名列表 = 命令
//写入赋权命令格式