目录
1.账号安全控制
1系统账号清理
2密码安全控制
1 对已经存在的用户账号进行控制
2 对新建的用户密码默认设置
3 历史命令和终端自动注销的安全管理
1 历史命令的限制
2. 用户切换管理
1 su命令的使用
2 ssh
3.授权用户管理
1 sudo命令
2 sudo用户别名
3 查看sudo操作记录
1.账号安全控制
1系统账号清理
chattr + i [文件名]:锁定指定文件;
chattr - i [文件名]:解锁指定文件;
lsattr 文件名:查看文件状态
2密码安全控制
1 对已经存在的用户账号进行控制
chage [选项] 用户名
-M:密码保持有效的最大天数。
-d:设置”最后一次修改密码的日期“。设置为 0 有特殊意思,表示用户应该在下次登录系统时更改密码。
2对新建的用户密码默认设置
vim /etc/login.defs //用户登录密码的默认配置
3 历史命令和终端自动注销的安全管理
1 历史命令的限制
history 查看当前用户的历史命令
history -c 清空当前用户的历史命令
注意:history -c 命令只可以临时清除记录(其实所有的文件都还保存在.bash_history ),重启后记录还在。
若想永久清空历史命令如何操作?
如何修改默认历史命令记录条数?
export HISTSIZE:export全局变量,实现在所有的shell环境中都有效,保留指定要求的历史命令条数;
输入vim /etc/profile
2. 用户切换管理
1su命令的使用
限制用户切换的原因:
su 命令虽然方便了普通用户之间的来回切换,但是也存在着一定的安全隐患,如果某一个普通用户的密码泄露,就会成为其他用户的隐患,所以有时候要对一些用户进行切换的限制,防止造成信息泄露的损失
如何限制使用su命令的用户?
将允许使用su命令的用户加入wheel组;启用pam_wheel认证模块
在Linux系统安装完成后,系统中存在一些PAM 认证模块,起着辅助使用系统的作用,而wheel认证模块,就是存在于模块配置中
wheel组:wheel组相当于超级管理员用户组,此组内的成员拥有最高的系统权限,root用户相当于超级管理员账号,属于wheel组。
vim /etc/pam.d/su 进入存放wheel组和默认root切换权限的配置
若想赋予用户权限,可将该用户加入wheel组中
总结:
(1)在/etc/pam.d/su文件中,取消第六行的注释,即可实现root用户可以免密切换到其他普通用户,只有加入到wheel组中 的可信任用户能够使用su命令,并输入正确的密码切换到其他用户中;
(2)将可信任能够使用su命令切换的用户加入到wheel组中;
2 ssh
通过ssh远程登录输入三次密码错误则锁定用户
输入vim /etc/pam.d/sshd 
3.授权用户管理
1 sudo命令
用途:以其他用户身份(如root)执行授权的命令
用法:sudo 授权命令
配置之sudo授权
visudo或者vi /etc/sudoersc
记录格式:用户主机名=命令程序列表
输入vim /etc/sudoers
支持使用通配符 * 表示所有, ! 表示取反
授予lisi/sbin/目录下说有权限,除了reboot、poweroff、shutdown、init
NOPASSWD
示例
GZY ALL = NOPASSWD: ADMIN #赋予别名GZY内的所有用户在所有主机上以root身份执行ADMIN程序内的所有命令权限,并且不需要使用密码
2 sudo用户别名
3 查看sudo操作记录
输入vim /etc/sudoers
输入vim /cd/var/log/sudo.log即可查看操作记录
sudo -l #普通用户查看有哪些sudo权限
