linux运维安全之账号基本安全

账号基本安全

1、 注释不要的账号

前面加#可以注释掉

/etc/passwd

/etc/group

原则：最小的权限+最少的服务=最大的安全

1、 将非登录用户的shell设为/sbin/nologin

加一个！就不能登录了

3、给账号组加锁

加锁

解锁

4、 账号口令安全设置

vi /etc/login.defs

Chage –M 30 test #test账号30天后必须修改密码

Chage –d 0 test #test下次登录必须修改密码

4、 命令历史安全

History

1、 减少历史记录条数

vi /etc/profile

最大1000条

1、 终端关机后自动清空

vi ~/.bash_logout

1、 闲置600秒后自动注销

Vi/etc/profile

全局下

vi ~/.bash_profile

4、 限制使用su命令切换用户

这边是加-和不加-的区别

允许使用su命令的加入wheel组

vi /etc/pam.d/su

此时已经限制了su的使用

4、 sudo命令的安全性

配置sudo

vi /etc/sudoers

增加执行的命令

4、 Root密码忘记

重启按E键

照到linux16，光标对准开头，按END键。

输入空格，在输入rd.break，crtl+x重启

进入这个界面

重启挂载分区

Mount –o remount,rw /sysroot/

在输入 chroot/sysroot/ 进入根目录

在输入passwd root修改密码

在输入

接着ctrl+d退出

输入reboot重启

密码修改成功（此处为centos7为实例）

4、 防止随意reboot重启root密码

grub2-mkpasswd-pbkdf2

复制密码

grub.pbkdf2.sha512.10000.9B411162EEC4C7C963519A9E14FB68E7FFA09427D601B165BE8A9E7E534CBD5ACAD51E9C1F4B5BBFE7DBA0D36DE1D8460BF9FD038CA8C74E6570CD7A253F7215.5A7958CBDD8745E24D813B2FB962F03D2E29E4F4D3D795C9575FE31FAC534409B7F2FFAB1A627BE1199A5F30984B0E7E6FF79398E93B5B422B67F4B646EF1C38

防编辑设置密码

vi /boot/grub2/grub.cfg

Reboot重启

按E键编辑，发现需要输入密码