内容概要
1、账号安全的基本措施 1、账号锁定
锁定账号文件passwd、shadow:
chattr +i /etc/passwd /etc/shadow //锁定文件
lsattr /etc/passwd /etc/shadow //查看状态
chattr -i /etc/passwd /etc/shadow //解锁文件
先通过lsattr来查看当前的passwd和shadow两个文件的状态,再通过chattr +i 这个命令来锁定passwd和shadow这两个文件,再查看一下,已经发现锁定成功。
我们通过 useradd 来新建一个用户,显示无法打开,因为已经被锁定了。
解锁这两个文件使用 chattr -i 来完成:
2、密码控制
我们可以通过密码控制来设置密码有效期,还可以要求用户下次登陆时要修改密码。
vi /etc/login.defs //直接修改密码配置文件,适合新建用户
chage -M 30 lisi //适用于已有用户
chage -d 0 zhangsan //强制在下次登陆时修改密码
修改/etc/login.defs配置文件,下次创建新用户默认为这样的设置
直接修改已经有的 lisi 这个用户,有效期设置为30天,通过cat查看,第五个字段为密码有效时间。
修改 lisi 用户下次登录必须修改密码
3、清空历史命令记录
减少记录的命令条数:
vi /etc/profile
export HISTSIZE=200 //等于两边不能有空格。用来控制最多记录200条历史命令。
source /etc/profile //设置完后一定要刷新profile
登陆时自动清空历史命令:
vi ~/.bashrc
echo “” > ~/.bash_history //输入一个空字符进入bash_history这个文件中,>为输入重定向,如果文件存在,就覆盖其中内容。
终端闲置300秒后自动注销:
export TMOUT=300 //自己手敲
source /etc/profile
通过 history 命令可以看到目前我的历史命令已经有1000+了。
减少记录的命令条数,默认为1000,我们设置为50。然后刷新,发现历史命令从951开始,最多记录50条。。
登陆时自动清空命令历史:
进入bash_history这个文件查看时有历史记录的,我们可以直接在这里面删除掉所有文件,也可以在外面输入一个空字符覆盖到这个文件中,我们最好进入到 ~/.bashrc 这个文件中写,让每次开机之后都清空历史命令。
进入到profile中修改配置文件,要自己手动输入,输入完之后,要source刷新一下。
2、切换用户命令
利用su来切换用户,然后可以通过 whoami 来查看当前时哪个用户。
root 用户切换到普通用户的时候,不用验证密码。
普通用户到其他用户,需要验证密码。
1、限制使用su命令的用户
一般来说,我们不设置限制的话,普通用户也能够登录到 root 用户中,我们不希望某些普通用户可以登录到 root 用户中,就可以进行设置。
步骤:1、将允许使用 su 命令的用户加入wheel组
2、启用pam_wheel认证模块
vim /etc/pam.d/su
然后将第6行的注释取消。
如果开启第一行,注释第二行(默认状态)是允许所有用户间使用 su 命令进行切换。
两行都注释也是所有用户可以使用 su ,但是 root 下使用 su 切换到其他普通用户需要输入密码;如果第一行不注释,则 root 使用 su 切换普通用户就不需要输入密码了。
如果开启第二行,表示只有 root 用户和 wheel 组内的用户才可以使用 su 命令
如果注释第一行,开启第二行,表示只有 wheel 组内的用户才能使用 su 命令,root 用户也被禁用 su 命令。
假如我信任普通用户zhangsan,允许他登录到 root 用户当中,可以将zhangsan 加入 wheel 组中。
然后我们 vim /etc/pam.d/su 进入,将第6行取消注释。
然后我们再登录 lisi 这个用户,su root 来试试看,lisi 这个用户被限制使用 su了 ,su 直接不可用了,如果想恢复使用,将 lisi 加入到 wheel 组中就可以。
sudo机制提升权限
用途:以其他用户身份(如root)执行授权的命令
用法:sudo 授权命令
配置sudo:
visudo或者 /etc/sudoers
记录格式
用户 主机名=命令程序列表
例子:Tom ALL=/sbin/ifconfig
Tom为用户
ALL为所有主机
/sbin/ifconfig为命令程序
例子2:Jerry localhost=/sbin/* , ! /sbin/reboot, ! /sbin/poweroff
#通配符"“*“表示所有、取反符号”!”表示排除,上面的意思是可以使用/sbin/下的所有命令,但是除了/sbin/reboot和/sbin/poweroff不能使用。
我们进入vim /etc/sudoers来设置,给zhangsan用户设置sudo权限,
目前还是不能使用ifconfig
我们可以在命令前面加上sudo
每次执行 sudo 命令都需要输入密码(5分钟之内再次输入sudo命令则不需要,超过五分钟就属于超时,需再次登录密码),我们也可以在vim /etc/sudoers里面设置,一般默认就有,取消注释即可,然后要把上面的注释掉。NOPASSWD:ALL就代表不需要输入密码。
设置别名来控制 sudo 提升权限
当需要设置不同的用户创建 sudo 权限,不可能一个用户一个用户的去设置,可以将多个用户放在一个别名当中,主机也照样可以。
使用关键字 User_Alias、Host_Alias、Cmnd_Alias来进行设置别名(别名必须要大写)
User_Alias USERS=luwei,lisi,wangwu
Host_Alias HOSTS=ALL
Cmnd_Alias CMNDS=/sbin/ifconfig,/usr/sbin/useradd
USERS HOSTS=CMNDS
USERS HOSTS=NOPASSWD:CMNDS
如果你不想执行sudo 时输入密码,可以在组后面加上要给NOPASSWD
切换到luwei 用户,来创建一个用户,如果不加上sudo时,会提示权限不够。
再切换到 lisi 用户,来试一下 init 命令,会提示没有权限,因为我上面设置了除了/sbin/init 的其他命令。
查看sudo的操作记录
1、需启用Defaults logfile配置
vim /etc/sudoers
Defaults logfile = “/var/log/sudo”
2、默认日志文件:/var/log/sudo
只有启动日志配置以后,sudo操作过程才会被记录
总结
可以通过chattr +i来锁定文件,然后通过lsattr来查看文件状态,chattr -i来解锁文件。
想在创建新用户的时候来控制密码有效期,直接进入配置文件 vi /etc/login.defs去修改,如果想修改已创建的用户的密码有效期,通过chage -M 30 lisi,需要下次登陆时提示修改密码使用:chage -d 0 zhangsan。
减少历史命令条数,进入配置文件 vi /etc/profile修改export HISTSIZE,登陆时自动清空历史命令,需要进入 vi ~/.bashrc 进行修改,echo “” > ~/.bash_history。终端闲置多少秒之后自动注销,进入vi /etc/profile手动输入一个export TMOUT,然后再source刷新一下。
可以利用su 来切换用户,如果不想让其他用户来使用su 命令,可以进入配置文件 vim /etc/pam.d/su然后注释掉第六行,这样表示只有root用户和wheel组内的用户可以使用su 命令。
sudo 命令可以授权命令,格式:sudo 授权命令。配置sudo 有两种方法,visudo或者vim /etc/sudoers。设置不同用户创建sudo 权限,可以使用别名,将多个用户放在一个别名中。
本周点击榜
本月点击榜
古今历史网_历史故事_历史知识分享平台 https://www.yuzhubaobao.com/ ICP备案:鲁ICP备2024097632号-1 网站地图
如何保障账号安全?锁定账号文件的基本措施与操作指南
内容概要
1、账号安全的基本措施 1、账号锁定
锁定账号文件passwd、shadow:
chattr +i /etc/passwd /etc/shadow //锁定文件
lsattr /etc/passwd /etc/shadow //查看状态
chattr -i /etc/passwd /etc/shadow //解锁文件
先通过lsattr来查看当前的passwd和shadow两个文件的状态,再通过chattr +i 这个命令来锁定passwd和shadow这两个文件,再查看一下,已经发现锁定成功。
我们通过 useradd 来新建一个用户,显示无法打开,因为已经被锁定了。
解锁这两个文件使用 chattr -i 来完成:
2、密码控制
我们可以通过密码控制来设置密码有效期,还可以要求用户下次登陆时要修改密码。
vi /etc/login.defs //直接修改密码配置文件,适合新建用户
chage -M 30 lisi //适用于已有用户
chage -d 0 zhangsan //强制在下次登陆时修改密码
修改/etc/login.defs配置文件,下次创建新用户默认为这样的设置
直接修改已经有的 lisi 这个用户,有效期设置为30天,通过cat查看,第五个字段为密码有效时间。
修改 lisi 用户下次登录必须修改密码
3、清空历史命令记录
减少记录的命令条数:
vi /etc/profile
export HISTSIZE=200 //等于两边不能有空格。用来控制最多记录200条历史命令。
source /etc/profile //设置完后一定要刷新profile
登陆时自动清空历史命令:
vi ~/.bashrc
echo “” > ~/.bash_history //输入一个空字符进入bash_history这个文件中,>为输入重定向,如果文件存在,就覆盖其中内容。
终端闲置300秒后自动注销:
vi /etc/profile
export TMOUT=300 //自己手敲
source /etc/profile
通过 history 命令可以看到目前我的历史命令已经有1000+了。
减少记录的命令条数,默认为1000,我们设置为50。然后刷新,发现历史命令从951开始,最多记录50条。。
登陆时自动清空命令历史:
进入bash_history这个文件查看时有历史记录的,我们可以直接在这里面删除掉所有文件,也可以在外面输入一个空字符覆盖到这个文件中,我们最好进入到 ~/.bashrc 这个文件中写,让每次开机之后都清空历史命令。
终端闲置300秒后自动注销:
进入到profile中修改配置文件,要自己手动输入,输入完之后,要source刷新一下。
2、切换用户命令
利用su来切换用户,然后可以通过 whoami 来查看当前时哪个用户。
root 用户切换到普通用户的时候,不用验证密码。
普通用户到其他用户,需要验证密码。
1、限制使用su命令的用户
一般来说,我们不设置限制的话,普通用户也能够登录到 root 用户中,我们不希望某些普通用户可以登录到 root 用户中,就可以进行设置。
步骤:1、将允许使用 su 命令的用户加入wheel组
2、启用pam_wheel认证模块
vim /etc/pam.d/su
然后将第6行的注释取消。
如果开启第一行,注释第二行(默认状态)是允许所有用户间使用 su 命令进行切换。
两行都注释也是所有用户可以使用 su ,但是 root 下使用 su 切换到其他普通用户需要输入密码;如果第一行不注释,则 root 使用 su 切换普通用户就不需要输入密码了。
如果开启第二行,表示只有 root 用户和 wheel 组内的用户才可以使用 su 命令
如果注释第一行,开启第二行,表示只有 wheel 组内的用户才能使用 su 命令,root 用户也被禁用 su 命令。
假如我信任普通用户zhangsan,允许他登录到 root 用户当中,可以将zhangsan 加入 wheel 组中。
然后我们 vim /etc/pam.d/su 进入,将第6行取消注释。
然后我们再登录 lisi 这个用户,su root 来试试看,lisi 这个用户被限制使用 su了 ,su 直接不可用了,如果想恢复使用,将 lisi 加入到 wheel 组中就可以。
sudo机制提升权限
用途:以其他用户身份(如root)执行授权的命令
用法:sudo 授权命令
配置sudo:
visudo或者 /etc/sudoers
记录格式
用户 主机名=命令程序列表
例子:Tom ALL=/sbin/ifconfig
Tom为用户
ALL为所有主机
/sbin/ifconfig为命令程序
例子2:Jerry localhost=/sbin/* , ! /sbin/reboot, ! /sbin/poweroff
#通配符"“*“表示所有、取反符号”!”表示排除,上面的意思是可以使用/sbin/下的所有命令,但是除了/sbin/reboot和/sbin/poweroff不能使用。
我们进入vim /etc/sudoers来设置,给zhangsan用户设置sudo权限,
目前还是不能使用ifconfig
我们可以在命令前面加上sudo
每次执行 sudo 命令都需要输入密码(5分钟之内再次输入sudo命令则不需要,超过五分钟就属于超时,需再次登录密码),我们也可以在vim /etc/sudoers里面设置,一般默认就有,取消注释即可,然后要把上面的注释掉。NOPASSWD:ALL就代表不需要输入密码。
设置别名来控制 sudo 提升权限
当需要设置不同的用户创建 sudo 权限,不可能一个用户一个用户的去设置,可以将多个用户放在一个别名当中,主机也照样可以。
使用关键字 User_Alias、Host_Alias、Cmnd_Alias来进行设置别名(别名必须要大写)
User_Alias USERS=luwei,lisi,wangwu
Host_Alias HOSTS=ALL
Cmnd_Alias CMNDS=/sbin/ifconfig,/usr/sbin/useradd
USERS HOSTS=CMNDS
USERS HOSTS=NOPASSWD:CMNDS
如果你不想执行sudo 时输入密码,可以在组后面加上要给NOPASSWD
切换到luwei 用户,来创建一个用户,如果不加上sudo时,会提示权限不够。
再切换到 lisi 用户,来试一下 init 命令,会提示没有权限,因为我上面设置了除了/sbin/init 的其他命令。
查看sudo的操作记录
1、需启用Defaults logfile配置
vim /etc/sudoers
Defaults logfile = “/var/log/sudo”
2、默认日志文件:/var/log/sudo
只有启动日志配置以后,sudo操作过程才会被记录
总结
可以通过chattr +i来锁定文件,然后通过lsattr来查看文件状态,chattr -i来解锁文件。
想在创建新用户的时候来控制密码有效期,直接进入配置文件 vi /etc/login.defs去修改,如果想修改已创建的用户的密码有效期,通过chage -M 30 lisi,需要下次登陆时提示修改密码使用:chage -d 0 zhangsan。
减少历史命令条数,进入配置文件 vi /etc/profile修改export HISTSIZE,登陆时自动清空历史命令,需要进入 vi ~/.bashrc 进行修改,echo “” > ~/.bash_history。终端闲置多少秒之后自动注销,进入vi /etc/profile手动输入一个export TMOUT,然后再source刷新一下。
可以利用su 来切换用户,如果不想让其他用户来使用su 命令,可以进入配置文件 vim /etc/pam.d/su然后注释掉第六行,这样表示只有root用户和wheel组内的用户可以使用su 命令。
sudo 命令可以授权命令,格式:sudo 授权命令。配置sudo 有两种方法,visudo或者vim /etc/sudoers。设置不同用户创建sudo 权限,可以使用别名,将多个用户放在一个别名中。
本周点击榜
本月点击榜