1.账号安全基本措施
1.1系统账号清理
- 将用户设置为无法登录、
- 锁定账户
- 删除账户
- 锁定账户密码 本质锁定
1.1.1 将用户设置为无法登录
chsh -s /sbin/nologin 用户名
1.1.2 锁定用户
passwd -l zhaosi #锁定用户 zhaosi 的密码 。
passwd: 操作成功
passwd -u zhaosi # 解锁用户 zhaosi 的密码。
passwd: 操作成功
1.1.3 删除账户
userdel -r 用户名
1.1.4 锁定配置文件
chattr
-a #让文件或目录仅供附加用途。只能追加
-i #不得任意更动文件或目录。
1.2 密码安全控制
1.2.1 对于新建用户
可以修改 /etc/login.defs 文件里的内容来设置密码规则
vim /etc/login.defs #适用于修改后生效后修改的用户
tail -5 /etc/shadow #修改密码有效期限
1.2.2 对于已有用户
可以使用chage命令
chage [选项] 用户名
-m:密码可更改的最小天数。为零时代表任何时候都可以更改密码。
-M:密码保持有效的最大天数。
-w:用户密码到期前,提前收到警告信息的天数。
-E:帐号到期的日期。过了这天,此帐号将不可用。
-d:上一次更改的日期。
-i:停滞时期。如果一个密码已过期这些天,那么此帐号将不可用。
-l:例出当前的设置。由非特权用户来确定他们的密码或帐号何时过期。
chage -d 0 zhangsan #强制张三下一次登录一定修改密码(密码符合复杂性要求)
chage -M 30 lisi #设置密码有效期为30天
2. sudo
sudo 即superuser do,允许系统管理员让普通用户执行一些或者全部的root命令的一个工具,如halt,reboot,su等等。这样不仅减少了root用户的登录 和管理时间,同样也提高了安全性
2.1sudo组成
包:sudo
配置文件:/etc/sudo.conf
执行授权命令:/usr/bin/sudo
时间戳文件:/var/db/sudo
日志文件:/var/log/secure 2.2 sudo命令
- sudo命令
sudo -i -u wang 切换身份功能和 su 相似,但不一样,sudo必须提前授权,而且要输入自已的密码
格式:sudo [-u user] COMMAND
-V 显示版本信息等配置信息
-u user 默认为root
-l,ll 列出用户在主机上可用的和被禁止的命令
-v 再延长密码有效期限5分钟,更新时间戳
-k 清除时间戳(1970-01-01),下次需要重新输密码
-K 与-k类似,还要删除时间戳文件
-b 在后台执行指令
-p 改变询问密码的提示符号
