账号基本安全
注释掉系统不需要的用户和用户组
不建议直接删除
再用户名前加“#”,便可注释掉
将非登录用户的shell设为/sbin/nologin
锁定一段时间内不使用的账号
账号user00口令字段前加了一个“!
"号,便无法登录
给账号、组账号、账号口令文件加上不可更改属性(加锁),从而防止非授权用户获得权限。
账号口令的安全设置
设置密码的有效期与最短长度限制
要求用户下次登录时修改密码
命令历史限制
减少记录的命令条数
注销时自动清空历史命令记录
终端自动注销
闲置60
930人加入学习
(23人评价)
该课程属于 高校公益行 | 网络安全实践训练营 请加入后再学习
注释掉系统不需要的用户和用户组
cp /etc/passwd /var/.bak/etc/
vim /etc/passwd
可以被注释掉的
adm,lp,sync,shutdown,halt,operator,games,ftp...
vim /etc/group
adm,lp,floppy,games, ftp...
7段
用户名 密码的占位符 uid号,gid号,说明信息,用户的目录,使用的shell
#注释
非登录用户的shell设为/sbin/nologin
usermod -s /sbin/nologin user00
tail -2 /etc/passwd
程序帐号 apache这种
锁定帐号
usermod -L user00
tail -3 /etc/shadow
shadow是用来保存帐号密码的文件
有个感叹号,表示密码暂时不能用,即加锁了
chattr +i /etc/passwd
shadow group gshadow
账号文件组账号文件加锁,加锁后无法增删用户,防止普通用户提权
lsattr /etc/passwd /etc/shadow xxxxx
查看文件属性
chattr -i /etc/passwd
解锁
密码有效期 长短限制 要求下次登录时修改密码
vim /etc/login.defs
PASS_MAX_DAYS
这里改了只适用于新建账号
chage -M 30 user00
修改已存在帐号的密码有效期
chage -d 0 xx
强制下次登录改密码
减少记录的命令条数 注销时自动清空历史命令记录
vim /etc/profile
HISTSIZE=50
vim ~/.bash_logout
history -c
clear
终端闲置600秒后自动注销
vim ~/.bash_profile
export TMOUT=600
注释用户:vim /etc/passwd
在不需要的用户前面加个#号注释掉。
非登录用户的shell设为/sbin/nologin
usermod -s /sbin/nologin/用户名
tail -2 /etc/passwd //查看一下
锁定一段时间内不使用的账号
usermod -L 用户
tail -3 /etc/shadow
给账号,组账号,账号口令文件加上不可更改属性,从而防止非授权用户获得权限
chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow
解锁:
chattr -i /etc/passwd
chattr -i /etc/shadow
chattr -i /etc/group
chattr -i /etc/gshadow
密码有效期与最短长度:
vim /etc/login.defs
PASS_MAX_DAYS 90 密码最长90天
PASS_MIN_DAYS 0 最短0天
PASS_WARN_AGE 7 7天提醒修改口令
PASS_MIN_LEN 8 最短密码长度8位
修改已经存在的账号密码有效期:
chage -M 30 用户 最长天数
chage -d 0 用户 强制下次登录改密码
查看历史口令history
他人可以查看你输入的口令,因此要减少记录的命令条,注销时自动清空历史命令。
vim /etc/profile
HISTORY=1000 改为自己想要的数字 //默认1000条
注销时自动清除记录:
vim ~/.bash_logout
history -c
clear
vim /etc/passwd
可以被注释的用户:adm,lp,sync,shutdown,halt,operator
最小的权限+最少的服务=最大的安全
指定不让用户登陆:usermod -s /sbin/nologin user00 不让user00账号登陆
锁定一段时间内不使用的账号:usermod -L user00 查看 /etc/shadow 发现密码前边有!
给账号、组账号、账号口令文件加上不可更改属性,从而防止非授权用户获取权限
chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow
chattr -i /etc/passwd
vim /etc/login.defs 修改新建账号密码配置
chage -M 30 账号 密码最长有效时间
chage -d 0 账号 登陆修改密码
减少历史命令记录
vim /etc/profile
HISTSIZE=50
注销时自动清空历史命令记录
vim ~/.bash_logout
history -c
clear
账号的基本安全
cp /etc/passwd /var/.bak/etc/ //欲修改,先备份
vim /etc/passwd //编辑帐号配置文件
//可以被注释掉的用户:adm,lp,sync,shutdown,halt,operator,games,ftp …
cp /etc/group /var/.bak/etc/
vim /etc/group //备份并编辑组帐号配置文件
//可以被注释掉的组帐号:adm, lp, floppy, games, ftp … …
最小的权限+最少的服务=最大的安全
将非登录用户的Shell设为/sbin/nologin
usermod -s /sbin/nologin lfy
锁定一段时间内不使用的帐号
usermod -L lfy
tail -3 /etc/shadow
给帐号、组帐号、帐号口令文件加上不可更改属性(加
锁),从而防止非授权用户获得权限
chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow //组帐号口令文件
lsattr /etc/passwd /etc/shadow /etc/group
/etc/gshadow
----i----------- /etc/passwd //查看以上文件属性
----i----------- /etc/shadow
----i----------- /etc/group /* 注意:执行以上权限修改之后,
----i----------- /etc/gshadow 就无法添加删除用户了 */
chattr -i /etc/passwd //通过这个命令解锁
//将相关文件解锁后,便可以添加删除用户或修改密码了;操作完成后再锁定
帐号口令的安全设置
设置密码有效期与最短长度限制
要求用户下次登录时修改密码
vim /etc/login.defs //只适用于新建帐号
//修改以下配置
PASS_MAX_DAYS 90 //密码使用最长天数改为90天
PASS_MIN_DAYS 0 //密码最短使用天数
PASS_MIN_LEN 8 //密码最短长度改为8,必要情况下改为14
PASS_WARN_AGE 7 //改换口令提醒天数
chage -M 30 likui //修改已存在帐号的密码有效期
chage -d 0 likui //强制在下次登录时更改密码
命令历史限制
减少记录的命令条数
注销时自动清空历史命令记录
vim /etc/profile
//修改下面环境变量的值
HISTSIZE=50
vim ~/.bash_logout
//添加下面两行
history -c
clear
G
M
T
| Detect languageAfrikaansAlbanianArabicArmenianAzerbaijaniBasqueBelarusianBengaliBosnianBulgarianCatalanCebuanoChichewaChinese (Simplified)Chinese (Traditional)CroatianCzechDanishDutchEnglishEsperantoEstonianFilipinoFinnishFrenchGalicianGeorgianGermanGreekGujaratiHaitian CreoleHausaHebrewHindiHmongHungarianIcelandicIgboIndonesianIrishItalianJapaneseJavaneseKannadaKazakhKhmerKoreanLaoLatinLatvianLithuanianMacedonianMalagasyMalayMalayalamMalteseMaoriMarathiMongolianMyanmar (Burmese)NepaliNorwegianPersianPolishPortuguesePunjabiRomanianRussianSerbianSesothoSinhalaSlovakSlovenianSomaliSpanishSundaneseSwahiliSwedishTajikTamilTeluguThaiTurkishUkrainianUrduUzbekVietnameseWelshYiddishYorubaZulu |
|
AfrikaansAlbanianArabicArmenianAzerbaijaniBasqueBelarusianBengaliBosnianBulgarianCatalanCebuanoChichewaChinese (Simplified)Chinese (Traditional)CroatianCzechDanishDutchEnglishEsperantoEstonianFilipinoFinnishFrenchGalicianGeorgianGermanGreekGujaratiHaitian CreoleHausaHebrewHindiHmongHungarianIcelandicIgboIndonesianIrishItalianJapaneseJavaneseKannadaKazakhKhmerKoreanLaoLatinLatvianLithuanianMacedonianMalagasyMalayMalayalamMalteseMaoriMarathiMongolianMyanmar (Burmese)NepaliNorwegianPersianPolishPortuguesePunjabiRomanianRussianSerbianSesothoSinhalaSlovakSlovenianSomaliSpanishSundaneseSwahiliSwedishTajikTamilTeluguThaiTurkishUkrainianUrduUzbekVietnameseWelshYiddishYorubaZulu |
|
|
|
|
|
Text-to-speech function is limited to 200 characters
账号的基本安全
注释掉用户+#
原则是最小权限+最少服务=最大的安全
adm/lp/syszc/halt/ftp/注释掉
将非登录账号shell设为sbin/nologin usermod -s
锁定一段时间不是用的账号usermod -L
账号加锁chattr +i/解锁chattr -i
账号口令安全设置编辑login.defs只适用新账号
修改已存在chage -M有效期/下次登陆强制修改密码chage -d
减少记录命令条数profile、注销时自动清空历史记录~/ .bash_logout添加history -c 和clear
自动注销添加export TMOUT=时间
=====账号安全
==注释掉系统不需要的用户和用户组
不建议直接删除,当你需要某个用户时,自己重新添加会很麻烦。
[root@localhost ~]# cp /etc/passwd /var/.bak/etc/
//欲修改,先备份
[root@localhost ~]# vim /etc/passwd
//编辑帐号配置文件
//可以被注释掉的用户:adm,lp,sync,shutdown,halt,operator,games,ftp ⋯ ⋯
[root@localhost ~]# cp /etc/group /var/.bak/etc/
[root@localhost ~]# vim /etc/group
//备份并编辑组帐号配置文件
//可以被注释掉的组帐号:adm, lp, floppy, games, ftp ⋯ ⋯
//用户名前加‘#’号代表注释
==账号锁定
将非登录用户的Shell设为/sbin/nologin
锁定一段时间内不使用的帐号
[root@localhost ~]# usermod -s /sbin/nologin user00
[root@localhost ~]# tail -2 /etc/passwd
//查看一下
user00:x:1000:1000:user00:/home/user00:/sbin/nologin
likui:x:1001:1001::/home/likui:/bin/bash
[root@localhost ~]# usermod -L user00
[root@localhost ~]# tail -3 /etc/shadow
tcpdump:!!:16673::::::
user00:!$6$9kOvPaa/SJuqojOm$X95/U0BzzcQjmYsXemYrrp725zW.PPZ.NIsV7TiuL
4qLbTvPmrKqcrkWEs6aNNVknoeYD5vNSXs1aSpvgSGiv/:16673:0:99999:7:::
likui:$6$p1AeYs41$xLsJpo1ZJuRSxmbtzlezRw6U/WCW95oE1v.HTQmDGzGflEIbNT
XhY5QyTQI2nRdc9oH/O8Dpbnnx6Z4oW0E2k1:16730:0:99999:7:::
==账号不可更改
给帐号、组帐号、帐号口令文件加上不可更改属性(加
锁),从而防止非授权用户获得权限
[root@localhost ~]# chattr +i /etc/passwd
[root@localhost ~]# chattr +i /etc/shadow
//帐号口令文件
[root@localhost ~]# chattr +i /etc/group
[root@localhost ~]# chattr +i /etc/gshadow
//组帐号口令文件
[root@localhost ~]# lsattr /etc/passwd /etc/shadow /etc/group
/etc/gshadow
----i----------- /etc/passwd
//查看以上文件属性
----i----------- /etc/shadow
----i----------- /etc/group
----i----------- /etc/gshadow
/* 注意:执行以上权限修改之后,就无法添加删除用户了 */
[root@localhost ~]# chattr -i /etc/passwd
//通过这个命令解锁
//将相关文件解锁后,便可以添加删除用户或修改密码了;操作完成后再锁定
==帐号口令的安全设置
设置密码有效期与最短长度限制
要求用户下次登录时修改密码
[root@localhost ~]# vim /etc/login.defs
//只适用于新建帐号
//修改以下配置
PASS_MAX_DAYS 90 //密码使用最长天数改为90天
PASS_MIN_DAYS 0 //密码最短使用天数
PASS_MIN_LEN 8 //密码最短长度改为8,必要情况下改为14
PASS_WARN_AGE 7 //改换口令提醒天数
[root@localhost ~]# chage -M 30 likui //修改已存在帐号的密码有效期
[root@localhost ~]# chage -d 0 likui //强制在下次登录时更改密码
==命令历史限制
减少记录的命令条数
注销时自动清空历史命令记录
[root@localhost ~]# vim /etc/profile
//修改下面环境变量的值
HISTSIZE=50
[root@localhost ~]# vim ~/.bash_logout
//添加下面两行
history -c
clear
