Linux的账户安全策略

Linux的账户安全策略

   张吉吉     2019年9月17日 01:29     290

一、限制用户登录与锁定用户

0)简介

限制用户登录和锁定用户是两种不同的方式。

当不需要登录用户账户,但是需要用户账户进行程序的启动如mysql http等就需要限制用户登录。

当用户确实没有实际用处,删除或者锁定用户才是最好的处理办法。但最好是锁定用户。不要删除。

1)限制用户登录

usermod –s /sbin/nologin username

2)限制用户登录

a.usermod –L username   #usermod将用户锁上

 usermod –U username   #usermod解除用户锁定

b. passwd –l username    #passwd将用户锁上

  passwd –u username   #解除用户的锁定

 

二、设置用户账户的属性

0)简介

修改/etc/login.defs配置文件,如果是在修改配置文件之前建立的用户,是无法对其生效的。

只能对修改配置文件以后的用户生效。

对之前的用户生效的话,需要用到chage命令进行更改。

1)对已有用户进行的配置

chage –M 30 username    #最大时间30

chage –m 30 username    #最小时间

chage –d 0 username      #最后一天,此要登录就修改密码

 

2)对新建用户进行的配置

PASS_MAX_DAYS   99999

PASS_MIN_DAYS   0

PASS_MIN_LEN    5

PASS_WARN_AGE   7


三、历史命令和无访问自动注销时间

0)简介

/etc/profile历史命令条数和注销访问时间都可以从此文件进行设置。

HITSIEZE(条)

TMOUT(秒)

1)历史命令设置

vim /etc/profile

a.源文件中有在其中更改。

HISTSIZE=1000(条)

b. 自动清空历史记录

echo “history -c” >> ~/.bash_logout

不建议每个都使用。

2)无访问自动注销时间设置

当长时间不操作,就会在规定的时间内注销。

增加一行内容

export TMOUT=600   600秒后注销


四、su命令和限制普通用户切换root账户

0)简介

Su命令来进行用户的切换,root切换普通用户是不需要密码的,但普通用户切换其他用户都需要进行密码的输入。

启用pam_wheel的认证权限。将允许使用su命令的用户加到wheel组。Wheel组是系统默认的一个组,组id10,就可以限制未在wheel组里边的用户切换root

 

1su命令

su – zhangsan

在使用su命令的时候,加 -”和不加“-”是有区别的。

su – zhangsan

当使用这个命令的时候,其会自动切换到张三的家目录下边

su zhangsan

当使用这个命令的时候,切换以后,目录还是在root的家目录下边。

所以“-”这个是必须要加的。

2)限制普通用户切换root账户

a.zhangsan添加到wheel组里边。

gpasswd –a zhangsan wheel

b.vim /etc/pam.d/su

保证以下没有被注释,如果没有就添加。

auth required pam_wheel.so use_uid的注释

以上就成功了。

如果用户不添加到wheel组里边,就无法切换到root下,并且会以密码不正确进行处理。

 

五、sudo的配置

0)简介

在不知道root密码的情况下,让用户有一些特殊权限。

visudo命令或者修改/etc/sudoers来赋予普通用户的特殊权限,允许普通用户使用root才能使用的命令

/etc/Sudoers的文件权限很小,root仅仅只读。

1)配置

a.如何配置

在任意地方

Zhangsan        localhost=/sbin/ifconfig

Zhangsan        localhost=/sbin/fdisk

当修改完以后,用sudo –l就可以查看自己用户能执行哪些命令

b.使用格式

Sudo /sbin/ifconfig eth0 192.168.x.x

其余的自己扩展。

Cmnd_Alias    USERADM=可以使用的命令

%groupname localhost=USERADM

Localhost是本机的意思。

用户必须要设置密码。


其他文章