1 账号安全
1.1 系统账号清理
- 将用户设置为无法登录、
- 锁定账户
- 删除账户
- 锁定账户密码 本质锁定
1.1.1 将用户设置为无法登录
chsh -s /sbin/nologin 用户名
1.1.2 锁定用户
passwd -l 用户 //锁定用户
usermod -L 用户
passwd -u 用户
usermod -U 用户
1.1.3 chattr 锁定配置文件
格式: chattr [选项]
- -a 让文件或目录仅供附加用途。只能追加
- -i 不得任意更动文件或目录。
1.2 密码安全控制
修改 /etc/login.defs 文件里的内容来设置密码规则
ps:适用于修改后生效后 的用户
chage
对已有用户可以使用chage命令
格式:chage [选项] 用户名
| 选项 | 作用 |
|---|---|
| -m | 密码可更改的最小天数。为零时代表任何时候都可以更改密码。 |
| -M | 密码保持有效的最大天数。 |
| -w | 用户密码到期前,提前收到警告信息的天数。 |
| -E | 帐号到期的日期。过了这天,此帐号将不可用。 |
| -d | 上一次更改的日期。 |
| -i | 停滞时期。如果一个密码已过期这些天,那么此帐号将不可用。 |
| -l | 例出当前的设置。由非特权用户来确定他们的密码或帐号何时过期。 |
1.4 su 切换用户
格式:su [选项] [-] 用户
- su 用户:非登录式切换,即不会读取目标用户的配置文件,不改变当前工作目录,即不完全切换
- su - 用户:登录式切换,会读取目标用户的配置文件,切换至自已的家目录,即完全切换
ps: root su至其他用户无须密码;非root用户切换时需要密码
1.5 sudo
允许系统管理员让普通用户执行一些或者全部的root命令的工具
sudo特性:
- sudo能够授权指定用户在指定主机上运行某些命令。如果未授权用户尝试使用 sudo,会提示联系管理员
- sudo提供了丰富的日志,详细地记录了每个用户干了什么。它能够将日志传到中心主机或者日志服务器
- sudo使用时间戳文件来执行类似的“检票”系统。当用户调用sudo并且输入它的密码时,用户获得了一张存活期为5分钟的票
- sudo的配置文件是sudoers文件,它允许系统管理员集中的管理用户的使用权限和使用的主机。它所存放的位置默认是在/etc/sudoers,属性必须为0440
1.6 grub加密
定义每个菜单项的所有脚本都存放在/etc/grub.d目录中
| 文件 | 描述 |
|---|---|
| 00_header | 设置grub默认参数 |
| 10_linux | 系统中存在多个linux版本 |
| 20_ppc_terminfo | 设置tty控制台 |
| 30_os_prober | 设置其他分区中的系统(硬盘中有多个操作系统时设置) |
| 40_custom和41_custom | 用户自定义的配置 |
