一、基本安全措施
1、系统账号清理
常见的非登录用户账号包括bin、daemon、 adm、lp、mail等。为了确保系统安全,这些用户账号的登录Shell通常是/ sbin/nologin,表示禁止终端登录,应确保不被人为改动。
//将非登陆用户的Shell设为/sbin/nologin或者/bin/falsh
[root@checker ~]# usermod -s /sbin/nologin [用户名]
//删除无用的账号
[root@checker ~]# userdel -r games
对于Linux服务器中长期不用的用户账号,若无法确定是否应该删除.可以暂时将其锁定。例如.若要锁定.解锁名为zhangsan的用户账号.可以执行以下操作(passwd、usermod命令都可用来锁定,解锁账号)。
[root@checker ~]# usermod -L zhangsan //锁定账号
[root@checker ~]# passwd -S zhangsan //查看账号状态
zhangsan LK 2024-01-05 0 99999 7 -1 (密码已被锁定。)
[root@checker ~]# usermod -U zhangsan //解锁账号
[root@checker ~]# passwd -S zhangsan
zhangsan PS 2024-01-05 0 99999 7 -1 (密码已设置,使用 SHA512 算法。)
如果服务器中的用户账号已经固定,不再进行更改,还可以采取锁定账号配置文件的方法。使用chattr命令,分别结合“+i”“-i”选项来锁定.解锁文件.使用lsattr命令可以查看文件锁定情况。
[root@checker ~]# chattr +i /etc/passwd /etc/shadow //锁定文件
[root@checker ~]# lsattr /etc/passwd /etc/shadow //查看锁定文件的状态
----i----------- /etc/passwd
----i----------- /etc/shadow
[root@checker ~]# chattr -i /etc/passwd /etc/shadow //解锁文件
[root@checker ~]# lsattr /etc/passwd /etc/shadow
---------------- /etc/passwd
---------------- /etc/shadow
2、密码安装控制
执行以下操作可将密码的有效期设为30天(chage命令用于设置密码时限)。
[root@checker ~]# vim /etc/login.defs (适用与新建用户)
对已有用户设置
[root@checker ~]# chage -M 30 zhangsan
要求用户下次登录时修改密码
[root@checker ~]# chage -d 0 zhangsan
[root@checker ~]# su zhangsan
更改用户 zhangsan 的密码 。
为 zhangsan 更改 STRESS 密码。
(当前)UNIX 密码:
新的 密码:
无效的密码: 这个密码和原来的相同
新的 密码:
无效的密码: 密码与原来的太相似
新的 密码:
3、命令历史,自动注销
Bash 终端环境中.历史命令的记录条数由变量HISTSIZE 控制,默认为1000条,通过修改/atc/profile文件中的HSTSIZE变量值.可以影响系统中的所有用户。例如,可以设置最多只记录100条历史命令。
[root@checker ~]# history //记录在命令行输入过的命令
1 systemctl stop firewalld.service
2 systemctl status firewalld.service
............[root@checker ~]# history -c //临时清除输入过的命令
[root@checker ~]# vim /etc/profile
Bash 终端环境中,还可以设置一个闲置超时时间,当超过指定的时间没有任何输入时即自动注销终端,这样可以有效避免当管理员不在时其他人员对服务器的误操作风险,闲置超时由变量TMOUT来控制,默认单位为秒(s).
[root@checker ~]# export TMOUT=600 //设置全局变量
[root@checker ~]# echo $TMOUT
600
二、用户切换与提权
1、su命令——切换用户
使用su命令,可以切换为指定的另一个用户,从而具有该用尸的所闫秋限。当然,功换时需安对目标用户的密码进行验证(从root用户切换为其他用户时除外)。
[root@checker ~]# su - zhangsan
上一次登录:五 1月 5 17:26:18 CST 2024从 192.168.223.1pts/1 上
[zhangsan@checker ~]$
这样带来了安全风险。为了加强su命令的使用控制,可以借助于pam_wheel认证模块.只允许极个别用户使用su命令进行切换。实现过程如下:将授权使用su命令的用户添加到wheel 组,修改/etc/pam,d/su认证配置以启用pam_wheel认证。
[root@checker ~]# gpasswd -a zhangsan wheel
正在将用户“zhangsan”加入到“wheel”组中
[root@checker ~]# grep wheel /etc/group
wheel:x:10:zhangsan
[root@checker ~]# vim /etc/pam.d/su
启用pam_wheel认证以后,未加入到wheel组内的其他用户将无法使用su命令.尝试进行切换时将提示“拒绝权限”,从而将切换用户的权限控制在最小范围内。
