CentOS7_账号的基本安全

本文详细介绍Linux系统中用户和用户组的管理方法,包括如何注释用户、设置非登录用户的shell、锁定账号、给文件加不可更改属性、账号口令的安全设置、命令历史限制、限制使用su命令的用户以及使用sudo机制提升权限。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  • 注释不必要的用户和用户组
[root@localhost ~]# vim /etc/passwd			//编辑账号配置文件
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
#adm:x:3:4:adm:/var/adm:/sbin/nologin			//在用户名前加“#”,可将其注释掉
#lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
#sync:x:5:0:sync:/sbin:/bin/sync
#shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
#halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
#operator:x:11:0:operator:/root:/sbin/nologin
#games:x:12:100:games:/usr/games:/sbin/nologin
#ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
……
[root@localhost ~]#  vim /etc/passwd			//编辑组账号配置文件
root:x:0:
bin:x:1:
daemon:x:2:
sys:x:3:
#adm:x:4:
tty:x:5:
disk:x:6:
#lp:x:7:
……
  • 将非登录用户的shell设为/sbin/nologin
[root@localhost ~]#  usermod -s /sbin/nologin user00
[root@localhost ~]#  tail -1 /etc/passwd		//查看是否更改
user00:x:1000:1000:user00:/home/user00:/sbin/nologin
  • 锁定账号
[root@localhost ~]#  usermod -L user00
[root@localhost ~]#  cat /etc/shadow | grep user00		//在账号user00口令字段前加“!”,同样无法登录
user00:!$6$PR35qnfEkkU63r9P$eTyd9j.QcLKUpaaslhDIT7RHNps5TbVf3gVEoCSEkuruyT.eCHloJEfwBcsMQ1Ah05m0Zncm.S2qh6F4a76jo/::0:99999:7:::
  • 给文件加不可更改属性
[root@localhost ~]#  chattr +i /etc/passwd		//账号文件
[root@localhost ~]#  chattr +i /etc/shadow		//账号口令文件
[root@localhost ~]#  chattr +i /etc/group		//组账号文件
[root@localhost ~]#  chattr +i /etc/gshadow		//组账号口令文件
[root@localhost ~]#  lsattr /etc/passwd  /etc/shadow /etc/group /etc/gshadow		//查看以上文件属性
----i----------- /etc/passwd         
----i----------- /etc/shadow 
----i----------- /etc/group           //注意:执行以上权限修改之后, 
----i----------- /etc/gshadow      //就无法添加删除用户了
[root@localhost ~]#  chattr -i /etc/passwd		 //通过这个命令解锁 
  • 帐号口令的安全设置
[root@localhost ~]# vim /etc/login.defs //只适用于新建帐号
//修改以下配置 
PASS_MAX_DAYS   90		 //密码使用最长天数改为90天 
PASS_MIN_DAYS   0		 	//密码最短使用天数 
PASS_MIN_LEN    8		 	//密码最短长度改为8,必要情况下改为14 
PASS_WARN_AGE   7 		//改换口令提醒天数
[root@localhost ~]# chage -M 30 likui 		//修改已存在帐号的密码有效期
[root@localhost ~]# chage -d 0 likui 			//强制在下次登录时更改密码
  • 命令历史限制
[root@localhost ~]# vim /etc/profile 
//修改下面环境变量的值 
HISTSIZE=50 			//减少记录的命令条数
[root@localhost ~]# vim ~/.bash_logout 
//添加下面两行 
history -c 
clear
//终端自动注销 
[root@localhost ~]# vim ~/.bash_profile 
//在行尾添加下面的环境变量 
export TMOUT=600		//闲置600秒后自动注销
  • 限制使用su命令的用户
//启用pam_wheel认证模块
[root@localhost ~]# vim /etc/pam.d/su 
//找到下面行,将“#”号删掉 
#auth            required        pam_wheel.so use_uid 
[root@localhost ~]# gpasswd -a likui wheel 
正在将用户“likui”加入到“wheel”组中
  • 使用sudo机制提升权限
[root@localhost ~]# vim /etc/sudoers
//用户	主机名列表	=	(身份列表)		命令列表
root		ALL=(ALL)		ALL		//此纪录为root用户可在 任何主机 上以 任何身份 执行 任何命令
%wheel		ALL=(ALL)		ALL
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值