Linux系统安全及应用

Posted 2021-06-20 世界美好與你環環相扣

Linux系统安全及应用

• • 一.账号安全的基本措施
  • • 系统账号清理
    • • 【1】将非登录用户的Shell设为/sbin/nologin
      • 【2】锁定长期不使用的账号
      • 【3】锁定账号文件,chattr命令
  • 二.密码安全控制
  • • 【1】设置密码有效期
    • • 新建用户配置文件 /etc/login.defs 简介
      • chage 命令
    • 【2】命令历史限制

一.账号安全的基本措施

系统账号清理

将非登录用户的Shell设为/sbin/nologin
锁定长期不使用的账号
删除无用的账号
锁定账号文件

【1】将非登录用户的Shell设为/sbin/nologin

usermod -s /sbin/nologin san   给用户设定不能登录系统，用户sans是之前创建好的用户

【2】锁定长期不使用的账号

passwd -l li  锁定用户li   usermod -L
passwd -S li  查看用户状态 
passwd -u li  解锁用户    usermod -U

【3】锁定账号文件,chattr命令

chattr改变文件最隐藏属性，最低层的属性，只对文件操作

chattr +i /home/a   锁定文件仅仅可读
[root@localhost home]# lsattr /home/a  查看底层权限
----i----------- /home/a
chattr -i /home/a  解锁文件
chattr  +a /home/a  给文件一个可追加的权限  文件只可读可追加，应用在追加日志场合
[root@localhost home]# echo 888  >> /home/a   
[root@localhost home]# cat /home/a
888
chattr -a /home/a 解锁可追加权限

二.密码安全控制

【1】设置密码有效期

要求用户下次登录时修改密码

设置密码有效期
通过调整密码有效期可以对用户更精确的控制

新建用户配置文件 /etc/login.defs 简介

/etc/login.defs 是设置用户帐号限制的文件。决定/etc/shadow的默认信息该文件里的配置对root用户无效。/etc/login.defs 文件用于在Linux创建用户时，对用户的一些基本属性做默认设置，例如指定用户 UID 和 GID 的范围，用户的过期时间，密码的最大长度，等等。
该文件的用户默认配置对 root 用户无效，对不是新建用户无效。并且，当此文件中的配置与 /etc/passwd 和 /etc/shadow 文件中的用户信息有冲突时，系统会以/etc/passwd 和 /etc/shadow 为准。

如果/etc/shadow文件里有相同的选项，则以/etc/shadow里的设置为准，也就是说/etc/shadow的配置优先级高于/etc/login.defs
使用 vim /etc/login.defs 命令查看该文件中的内容，表 1 中对文件中的各个选项做出了具体的解释

chage 命令

chage -l liu 查看用户的有效期情况
chage  -h  查看用法
chage -d 2021-5-05 liu  改变最近修改密码的日期
chage -d 0 liu 下次登录的时候必须修改密码
chage -E 2021-8-16 liu 设置账号过期时间
chage -M 99  liu  经过多少天要改密码
 chage -W 5  liu   密码过期的警告天数 

【2】命令历史限制

减少记录的命令条数
注销时自动清空命令历史终端自动注销
闲置600秒后自动注销

history  查看命令记录  命令记录是从登录账号开始的是记在缓存当中的默认1000条命令
!761  ！+命令记录的id号可以执行该命令
logout  登出   // 登出时history保存在 .bash_history 隐藏文件中，所以下次登录还有记录
history -c   清历史命令
 

若不想每次登出时都做清除操作，可更改配置文件
1.更该 history配置文件/etc/profile

source /etc/profile   立马执行此配置文件

2.更改登出的配置文件
vim .bash_logout