linux系统安全及应用——账号安全(基本安全措施)

不开启桌面可以减少受攻击面

一、系统账号清理

1）非登录用户的shell改为/sbin/nologin

~] #usermod -s /sbin/nologin user1

2）锁定长期不用的账号

锁定方法1

~] #usermod -L user1（锁定后的账户shadow文件密码段全面有！）

~] #usermod -U user1 (解锁)

锁定方法2

~] #passwd -l user1（锁定后的账户shadow文件密码段全面有！！，注意和usermod有区别，一个！或者两个！！的区别）

~] #passwd -u user1(解锁)

~] #passwd -S user1 (检查锁定情况)

3）删除无用的账号

~] #userdel -r user1 (r代表一并删掉家目录)

4）锁定账号文件passwd、shadow(锁定后root用户也动不了，只有解锁)

~] #chattr +i /etc/passwd /etc/shadow （锁定文件）

~] #lsattr /etc/passwd etc/shadow (查看文件夹权限发现有i 代表没有权限)

~] #chattr -i /etc/passwd /etc/shadow （解锁）

二、密码安全措施

1）设置密码有效期

①对系统中已经存在的用户

~] #chage -M 60 user1    (有效期60天)

~] #tail /etc/shadow 看变化与否

②系统增加用户

~] #vim /etc/login.defs (设置密码默认参数的)

修改

PASS_MAX_DAYS    60  （保存退出，今后新增用户默认密码有效期都是60天了）

2）要求用户下次登录时修改密码

~] #chage -d 0 user1 (把以前定义好的离下次修改密码的时间节点从某一时间改为0，这就意味着下次登录肯定密码到期，需要修改)

三、命令历史限制

1）减少记录的命令条数

第一、全局生效

~] #vim /etc/profile
修改

HISTSIZE=200 (默认history命令只记录200条命令)

~] #source /etc/profile  (是配置文件修改后生效)

第二、使当前用户或当前环境里生效

~] #export HISTSIZE=200

2）注销时自动清空命令历史

~] #cd ~（进入家目录）

~] #ls -a

~] #vim .bash_logout(此文件代表用户退出注销时候要执行的操作)

添加

history -c  （清空历史记录）

clear （清屏）

四、终端自动注销

~] #vim /etc/profile

添加

export TMOUT=600 （600秒自动退出，TMOUT是一个变量，所以用export来声明它为全局变量）

~] #source /etc/profile   (使下次登录生效)

如果要使当前用户生效则可直接在shell命令下敲

~] #export TMOUT=600