不开启桌面可以减少受攻击面
一、系统账号清理
1)非登录用户的shell改为/sbin/nologin
~] #usermod -s /sbin/nologin user1
2)锁定长期不用的账号
锁定方法1
~] #usermod -L user1(锁定后的账户shadow文件密码段全面有!)
~] #usermod -U user1 (解锁)
锁定方法2
~] #passwd -l user1(锁定后的账户shadow文件密码段全面有!!,注意和usermod有区别,一个!或者两个!!的区别)
~] #passwd -u user1(解锁)
~] #passwd -S user1 (检查锁定情况)
3)删除无用的账号
~] #userdel -r user1 (r代表一并删掉家目录)
4)锁定账号文件passwd、shadow(锁定后root用户也动不了,只有解锁)
~] #chattr +i /etc/passwd /etc/shadow (锁定文件)
~] #lsattr /etc/passwd etc/shadow (查看文件夹权限发现有i 代表没有权限)
~] #chattr -i /etc/passwd /etc/shadow (解锁)
二、密码安全措施
1)设置密码有效期
①对系统中已经存在的用户
~] #chage -M 60 user1 (有效期60天)
~] #tail /etc/shadow 看变化与否
②系统增加用户
~] #vim /etc/login.defs (设置密码默认参数的)
修改
PASS_MAX_DAYS 60 (保存退出,今后新增用户默认密码有效期都是60天了)
2)要求用户下次登录时修改密码
~] #chage -d 0 user1 (把以前定义好的离下次修改密码的时间节点从某一时间改为0,这就意味着下次登录肯定密码到期,需要修改)
三、命令历史限制
1)减少记录的命令条数
第一、全局生效
~] #vim /etc/profile
修改
HISTSIZE=200 (默认history命令只记录200条命令)
~] #source /etc/profile (是配置文件修改后生效)
第二、使当前用户或当前环境里生效
~] #export HISTSIZE=200
2)注销时自动清空命令历史
~] #cd ~(进入家目录)
~] #ls -a
~] #vim .bash_logout(此文件代表用户退出注销时候要执行的操作)
添加
history -c (清空历史记录)
clear (清屏)
四、终端自动注销
~] #vim /etc/profile
添加
export TMOUT=600 (600秒自动退出,TMOUT是一个变量,所以用export来声明它为全局变量)
~] #source /etc/profile (使下次登录生效)
如果要使当前用户生效则可直接在shell命令下敲
~] #export TMOUT=600