CentOS7_账号的基本安全

最新推荐文章于 2023-08-01 15:08:48 发布

原创最新推荐文章于 2023-08-01 15:08:48 发布 · 613 阅读

1 ·

CC 4.0 BY-SA版权

本文详细介绍Linux系统中用户和用户组的管理方法，包括如何注释用户、设置非登录用户的shell、锁定账号、给文件加不可更改属性、账号口令的安全设置、命令历史限制、限制使用su命令的用户以及使用sudo机制提升权限。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

注释不必要的用户和用户组

[root@localhost ~]# vim /etc/passwd			//编辑账号配置文件
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
#adm:x:3:4:adm:/var/adm:/sbin/nologin			//在用户名前加“#”，可将其注释掉
#lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
#sync:x:5:0:sync:/sbin:/bin/sync
#shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
#halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
#operator:x:11:0:operator:/root:/sbin/nologin
#games:x:12:100:games:/usr/games:/sbin/nologin
#ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
……
[root@localhost ~]#  vim /etc/passwd			//编辑组账号配置文件
root:x:0:
bin:x:1:
daemon:x:2:
sys:x:3:
#adm:x:4:
tty:x:5:
disk:x:6:
#lp:x:7:
……

将非登录用户的shell设为/sbin/nologin

[root@localhost ~]#  usermod -s /sbin/nologin user00
[root@localhost ~]#  tail -1 /etc/passwd		//查看是否更改
user00:x:1000:1000:user00:/home/user00:/sbin/nologin

锁定账号

[root@localhost ~]#  usermod -L user00
[root@localhost ~]#  cat /etc/shadow | grep user00		//在账号user00口令字段前加“!”，同样无法登录
user00:!$6$PR35qnfEkkU63r9P$eTyd9j.QcLKUpaaslhDIT7RHNps5TbVf3gVEoCSEkuruyT.eCHloJEfwBcsMQ1Ah05m0Zncm.S2qh6F4a76jo/::0:99999:7:::

给文件加不可更改属性

[root@localhost ~]#  chattr +i /etc/passwd		//账号文件
[root@localhost ~]#  chattr +i /etc/shadow		//账号口令文件
[root@localhost ~]#  chattr +i /etc/group		//组账号文件
[root@localhost ~]#  chattr +i /etc/gshadow		//组账号口令文件
[root@localhost ~]#  lsattr /etc/passwd  /etc/shadow /etc/group /etc/gshadow		//查看以上文件属性
----i----------- /etc/passwd         
----i----------- /etc/shadow 
----i----------- /etc/group           //注意：执行以上权限修改之后， 
----i----------- /etc/gshadow      //就无法添加删除用户了
[root@localhost ~]#  chattr -i /etc/passwd		 //通过这个命令解锁

帐号口令的安全设置

[root@localhost ~]# vim /etc/login.defs //只适用于新建帐号
//修改以下配置 
PASS_MAX_DAYS   90		 //密码使用最长天数改为90天 
PASS_MIN_DAYS   0		 	//密码最短使用天数 
PASS_MIN_LEN    8		 	//密码最短长度改为8，必要情况下改为14 
PASS_WARN_AGE   7 		//改换口令提醒天数
[root@localhost ~]# chage -M 30 likui 		//修改已存在帐号的密码有效期
[root@localhost ~]# chage -d 0 likui 			//强制在下次登录时更改密码

命令历史限制

[root@localhost ~]# vim /etc/profile 
//修改下面环境变量的值 
HISTSIZE=50 			//减少记录的命令条数
[root@localhost ~]# vim ~/.bash_logout 
//添加下面两行 
history -c 
clear
//终端自动注销 
[root@localhost ~]# vim ~/.bash_profile 
//在行尾添加下面的环境变量 
export TMOUT=600		//闲置600秒后自动注销

限制使用su命令的用户

//启用pam_wheel认证模块
[root@localhost ~]# vim /etc/pam.d/su 
//找到下面行，将“#”号删掉 
#auth            required        pam_wheel.so use_uid 
[root@localhost ~]# gpasswd -a likui wheel 
正在将用户“likui”加入到“wheel”组中

使用sudo机制提升权限

[root@localhost ~]# vim /etc/sudoers
//用户	主机名列表	=	（身份列表）		命令列表
root		ALL=(ALL)		ALL		//此纪录为root用户可在 任何主机 上以 任何身份 执行 任何命令
%wheel		ALL=(ALL)		ALL