账号基本安全措施
系统账号清理
- 将用户设置为无法登录
- 删除账户
将用户设置成无法登录 指定用户的shell为/sbin/nologin
删除账户 userdel -r 用户名
锁定配置文件
用 chattr命令可以给文件加特殊权限,
-a 让文件或目录仅供附加用途。只能追加
-i 不得任意更动文件或目录。
密码安全控制 设置密码规则
- 设置密码有效期
- 要求用户下次登录时修改密码
对于现有的用户使用chage命令 chage [选项] 用户名
命令历史
只要获得用户的命令历史文件,如果曾经在 命令行输入明文的密码,则无意之中服务器的安全壁垒又多了一个缺口,所以要修改修改/etc/profile 文件中的 HISTSIZE 变量值,可以影响系统中的所有用户
- 减少记录的命令条数。
- 注销时自动清空命令历史,或登录时自动清空命令历史。
永久修改历史命令条数。编辑/etc/profile 文件,设置命令记录为50条
编辑 ~/.bash_logout 文件,在注销时清空命令历史
切换用户
su 命令 选项 su UserName:非登录式切换, 即不会读取目标用户的配置文件,不改变当前工作目录,即不完全切换
su - UserName:登录式切换,会读取目标用户的配置文件,切换至自已的家目录,即完全切换 su 切换新用户后,使用 exit 退回至旧的用户身份,而不要再用 su 切换至旧用户,否则会生成很多的bash子进程,环境可能会混乱。
[options...] [-] [user [args...]]
限制使用su命令的用户
编辑 /etc/pam.d/su 文件,将第二行和第六行都开启,则只有root和wheel组内的用户才能使用 su 命令
开启 第六行
此时cxk用户无法通过su切换到root
我们可以将cxk放入whell组中
用户提权 -sudo命令
sudo命令和/etc/sudoers配置文件
sudo使一般用户不需要知道超级用户的密码即可获得权限
sudo 命令执行过程
首先超级用户将普通用户的名字、可以执行的特定命令、按照哪种用户或用户组的身份执行等信息,登记在特殊的文件中(通常是/etc/sudoers),即完成对该用户的授权(此时该用户称为“sudoer”);在一般用户需要取得特殊权限时,其可在命令前加上“sudo”,此时sudo将会询问该用户自己的密码(以确认终端机前的是该用户本人),回答后系统即会将该命令的进程以超级用户的权限运行。之后的一段时间内(默认为5分钟,可在/etc/sudoers自定义),使用sudo不需要再次输入密码。 sudo的配置文件是sudoers文件,它允许系统管理员集中的管理用户的使用权限和使用的主机。它所存放的位置默认是在/etc/sudoers,属性必须为0440
sudo基本语法
sudo [-u username] [command] //-u:以哪个用户的身份运行命令
sudo -V //查看相关配置信息
sudo命令让普通用户实现挂载镜像文件
可以使用visudo
