Linux系统安全优化：用户账号与权限管理

"该文档是关于Linux系统的安全优化，主要关注用户账号安全的常规优化措施。内容涵盖了禁用用户账号、更改登录Shell、限制密码有效期、强制密码更新、设定密码最小长度、控制命令历史记录、设置终端超时注销、管理su切换用户权限以及通过sudo授权特定命令执行。" 在Linux系统安全领域，确保用户账号的安全是至关重要的。这份文档提供了一系列常规的优化策略，以加强系统的安全性： 1. **禁用或锁定用户账号**：可以通过`passwd -l`命令锁定用户账号，例如`passwd -l zhangsan`，这将在`/etc/shadow`文件中添加一个感叹号（!）到密码字段前，阻止用户登录。此外，还可以直接编辑`/etc/shadow`文件来实现相同效果。 2. **改变非必要用户登录Shell**：对于不需要使用终端的用户，可以将登录Shell更改为`/sbin/nologin`，这样用户将无法登录，例如`usermod -s /sbin/nologin zhangsan`或直接编辑`/etc/passwd`文件。 3. **设置密码有效期**：通过修改`/etc/login.defs`中的`PASS_MAX_DAYS`或使用`chage`命令（如`chage -M 30 zhangsan`），可以限制用户的密码有效期，确保密码定期更换。 4. **强制下次登录时更改密码**：使用`chage -d 0 zhangsan`命令，将第三列（密码最后修改日期）设置为0，用户下次登录时必须更改密码。 5. **设置密码最小长度**：编辑`/etc/pam.d/system-auth`文件，添加`pam_cracklib.so`模块，如`password requisite pam_cracklib.so try_first_pass retry=3`，可以设定密码复杂度规则，包括最小长度。 6. **限制命令历史记录**：在`/etc/profile`文件中，将`HISTSIZE`变量设置为特定数值，如`HISTSIZE=1000`，控制命令历史记录的条数。 7. **设置终端超时自动注销**：同样在`/etc/profile`文件中，设置`TMOUT`变量，如`TMOUT=600`，表示600秒无操作后自动注销终端。 8. **管理`su`切换用户权限**：通过编辑`/etc/pam.d/su`，使用`pam_wheel.so use_uid`，可以限制仅特定用户组（如`wheel`组）成员能使用`su`切换用户。要允许用户`zhangsan`加入此权限，使用`gpasswd -a zhangsan wheel`命令。 9. **通过`sudo`授权特定命令**：可以定义`sudoers`规则，如`jerry ALL=(ALL) /sbin/ifconfig`，允许`jerry`用户执行`ifconfig`命令。也可以创建命令别名，如`Cmnd_Alias SYS="/sbin/ifconfig"`，然后授权用户使用该别名，例如`tom ALL=(ALL) SYS`。 这些优化措施有助于保护系统免受恶意活动的侵害，提高整体安全性，同时也增加了对用户行为的控制和监控。