"该文档是关于Linux系统的安全优化,主要关注用户账号安全的常规优化措施。内容涵盖了禁用用户账号、更改登录Shell、限制密码有效期、强制密码更新、设定密码最小长度、控制命令历史记录、设置终端超时注销、管理su切换用户权限以及通过sudo授权特定命令执行。"
在Linux系统安全领域,确保用户账号的安全是至关重要的。这份文档提供了一系列常规的优化策略,以加强系统的安全性:
1. **禁用或锁定用户账号**:可以通过`passwd -l`命令锁定用户账号,例如`passwd -l zhangsan`,这将在`/etc/shadow`文件中添加一个感叹号(!)到密码字段前,阻止用户登录。此外,还可以直接编辑`/etc/shadow`文件来实现相同效果。
2. **改变非必要用户登录Shell**:对于不需要使用终端的用户,可以将登录Shell更改为`/sbin/nologin`,这样用户将无法登录,例如`usermod -s /sbin/nologin zhangsan`或直接编辑`/etc/passwd`文件。
3. **设置密码有效期**:通过修改`/etc/login.defs`中的`PASS_MAX_DAYS`或使用`chage`命令(如`chage -M 30 zhangsan`),可以限制用户的密码有效期,确保密码定期更换。
4. **强制下次登录时更改密码**:使用`chage -d 0 zhangsan`命令,将第三列(密码最后修改日期)设置为0,用户下次登录时必须更改密码。
5. **设置密码最小长度**:编辑`/etc/pam.d/system-auth`文件,添加`pam_cracklib.so`模块,如`password requisite pam_cracklib.so try_first_pass retry=3`,可以设定密码复杂度规则,包括最小长度。
6. **限制命令历史记录**:在`/etc/profile`文件中,将`HISTSIZE`变量设置为特定数值,如`HISTSIZE=1000`,控制命令历史记录的条数。
7. **设置终端超时自动注销**:同样在`/etc/profile`文件中,设置`TMOUT`变量,如`TMOUT=600`,表示600秒无操作后自动注销终端。
8. **管理`su`切换用户权限**:通过编辑`/etc/pam.d/su`,使用`pam_wheel.so use_uid`,可以限制仅特定用户组(如`wheel`组)成员能使用`su`切换用户。要允许用户`zhangsan`加入此权限,使用`gpasswd -a zhangsan wheel`命令。
9. **通过`sudo`授权特定命令**:可以定义`sudoers`规则,如`jerry ALL=(ALL) /sbin/ifconfig`,允许`jerry`用户执行`ifconfig`命令。也可以创建命令别名,如`Cmnd_Alias SYS="/sbin/ifconfig"`,然后授权用户使用该别名,例如`tom ALL=(ALL) SYS`。
这些优化措施有助于保护系统免受恶意活动的侵害,提高整体安全性,同时也增加了对用户行为的控制和监控。
我的内容管理
展开
