账户安全控制
1、账户安全的注意事项
1】禁用不常用的账户 防止身份被冒充
2】设置密码曼珠复杂性 满足四分之三原则 长度不低于七位
3】设置账户禁用登录系统 一般管理服务账户禁止登录系统 用户是/sbin/nologin不允许登录系统
4】定期清理过期账户 防止用户使用
5】禁止管理员登录系统 防止权限过大发生误操作
6】锁定用户无法添加删除用户
[root@centos02 ~]# useradd radmin #创建用户编辑pam认证 开启wheel组模块
vim /etc/pam.d/su
auth required pam_wheel.so use_uid
auth sufficient pam_rootok.so
编辑wheel组用户使用su命令
[root@centos02 ~]# vim /etc/login.defs
SU_WHEEL_ONLY yes将用户加入到组中
[root@centos02 ~]# gpasswd -a radmin wheel创建用户张三和密码验证是否可以使用
[root@centos02 ~]# useradd zhangsan
[root@centos02 ~]# echo "pwd@123" | passwd --st
--status --stdin
[root@centos02 ~]# echo "pwd@123" | passwd --stdin radmin
更改用户 radmin 的密码 。
passwd:所有的身份验证令牌已经成功更新。
[root@centos02 ~]# echo "pwd@123" | passwd --stdin zhangsan
更改用户 zhangsan 的密码 。
passwd:所有的身份验证令牌已经成功更新。
验证张三无权使用su命令 radmin有权限
[root@centos02 ~]# su radmin
[radmin@centos02 root]$ su zhangsan
密码:
[zhangsan@centos02 root]$ su root
密码:
su: 拒绝权限
接下来我们授权zhangsan用户管理用户 首先要查找命令位置
[root@centos02 ~]# which useradd
/usr/sbin/useradd
[root@centos02 ~]# which passwd
/usr/bin/passwd
[root@centos02 ~]# which usermod
/usr/sbin/usermod
[root@centos02 ~]# which userdel
/usr/sbin/userdel
[root@centos02 ~]#
接下来开始配置zhangsan允许管理用户和lisi的权限
[root@centos02 ~]# vim /etc/sudoers
zhangsan localhost=/usr/sbin/passwd,/usr/sbin/useradd,/usr/sbin/userdel,/usr/
即使给了权限也无法修改root属性 所以无需添加别的限制
lisi ALL=NOPASSWD:/sbin/*,/usr/sbin/*
NOPASSWD用于取消验证密码
Defaults logfile = "/var/log/sudo"
开启日志验证:
zhangsan需要密码
禁用重启快捷键
[root@centos02 ~]# systemctl mask ctrl-alt-del.target
[root@centos02 ~]# systemctl daemon-reload //重启服务
禁用root用户从tty5和6登录
[root@centos02 ~]# vim /etc/securetty 
接下来配置grup密码
linux系统开机关机控制
1、开关机控制类型
1】bios设置密码
避免所有用户进入bios修改bios设置
2】禁用网络启动
防止网络引导
3】禁止用usb接口
防止移动设备引导
4】禁用ctrl+alt+delete
防止按快捷键重新启动
5】grub引导
防止从其他系统启动
添加grub引导菜单密码
[root@centos02 ~]# vim /etc/grub.d/00_header
重新生成grub菜单
验证:
实验至此结束
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
