一、基本安全措施
1、系统账号清理
(1)、将非登陆用户的shell设为/sbin/nologin
方法一、usermod -s
方法二、chsh命令,交互式修改
方法三、chsh -s
usermod(修改用户) userdel(删除用户) useradd(创建用户)
可用命令 tail -10 /etc/passwd
2、锁定长期不使用的账号
方法一;passwd -l (将在密文前增加2个“!”) 解锁 passwd -u 查看passwd -s
方法二、usermod -L{将在密文前增加一个“!")解锁usermod -U
若用passwd -l +用户 锁定用usermod -u 解锁必须输入2次命令usermod -U
3、删除无用的账号 userdel{r}
4、锁定账号文件
/etc/passwd /etc/shadow
1>锁定;chattr +/etc/passwd +/etc/shadow
2>解锁;chattr -i /etc/passwd -i /etc/shadow
3>查看;lsattr /etc/passwd /etc/shadow
例;
2、密码安全控制
(1)设置密码有效期
1>修改某个已存在用户的密码有效期
chage -M 天数 用户名
passwd -x 天数 用户名
2>设置今后添加用户时的默认密码有效期
方法一;VI编辑/etc/login.defs文件,修改“pass_MAX_DAN"后面的数值
咧;
vi /etc/login.defs
将99999天改为60天 然后用 useradd wang(创建一个用户) grep wang /etc/shadow (过滤查看)
(2)要求用户下次登陆时修改密码
1>方法:chage -d o 用户名
3、命令历史限制
(1)减少历史的命令条数
1>方法一;vi编辑/ect/profile文件,修改”HISTSIZE="后面的数值
2>方法二;export HISTSIZE=数值
如;方法一;vi 编辑/etc/profile文件,修改“HISTSIZE=100"
把1000改为100
source /etc/profile 使/etc/profile配置文件生效,此时全局生效
方法二;export HISTSIZE=100 仅当前用户环境生效
export 全局生效 /etc/profile 全局变量
export HISTSIZE=100
(2)注销时自动清空历史命令
1>方法;vi编辑宿主目录下的”.bash_logout"文件,添加“history-c"
2>示例;设置amber用户注销时自动清空历史命令
vi ~amber/.bash_logout
4、终端自动注销
(1)方法一;VI编辑/etc/profile 文件,添加”TMOUT=数值“
(2)方法二;export TMOUT=数值
(3)示列;闲置600秒后自动注销
方法一;VI编辑/etc/profile文件,添加”TMOUT=600"
vi /etc/profile
方法二;export TMOUT=600
export TMOUT=600 仅当前用户环境生效
二、切换用户
1、作用;切换用户(Substitute User)
2、su[-]目标用户 (有“-”初始化环境变量,无“-”环境变量不改变)
3、查看SU操作记录
安全日志文件;/var/log/secure
tac /var/log/secure|less
三、提升权限 Sudo 命令
1、SU命令的缺点;
在使用SU命令时,不指定用户名以默认切换至root用户,需要输入root密码,但实际生产中root密码是不可以被广泛告知的。如果需要执行root用户才有权限的命令,需要通过sudo命令或wheel组的设置来实现。
2、sudo命令
(1)作用;以其他用户身份(默认root身份)执行授权的命令
(2)用法;
sudo授权命令
默认设置为首次执行时,需输入当前用户的登陆密码,5分钟内再次执行sudo命令时则无需再次输入密码
(3)配置sudo授权
1>方法一;添加单个用户的sudo授权
visudo或者vi /etc/sudoers(效果相同),添加配置内容
格式;用户 主机名列表=命令出现列表,命令前加“!”表示“除了”此命令
2>方法二;批量授权 wheel组
HOST Aliase主机名(下图)
User Aliases用户名
Command Aliases命令别名
根据示列以及实际需求,设置别名。(建议先复制,再粘贴修改)
设置别名后,添加格式;
用户别名 主机别名=命令别名(所有别名均大写)
(4)查看sudo操作记录
第一步;visudo或者vi /etc/sudoers添加“Defaults logfile=/var/log/sudo"
第二步;cat/var/log/sudo
示列;启用Defaults logfile 配置,给xiao用户所有/sbin/以及/usr/sbin/下的命令执行权限,除了关机以及重启。
visudo
sudo userdel -r xiao5 grep xiao5 /etc/passwd sudo init 0
对不起,用户 xiao 无权以 root的身份在www.xiao.com上执行/sbin/init 0.
tac /var/log/sudo
5、查询授权操作 sudo -l 用户xiao 可以在该主机上运行以下命令
(root)/sbin/*,(root) /usr/sbin/*,(root) ! /sbin/reboot, (root) !/sbin/init,(root), (root) !/sbin/poweroff, (root) !/sbin/shutdown