Linux系统安全优化：账号权限与sudo管理

"Linux系统安全常规优化是每个运维工程师必须掌握的关键技能，涉及到用户账号安全、权限管理和命令执行控制等多个方面。以下是对这些知识点的详细解释： A. 用户账号安全优化： 1. 删除不使用的用户和组：为了减少潜在的安全风险，应及时清理不再需要的用户和组，避免被恶意利用。 2. 设置无效Shell：确保服务和程序用户的登录Shell为非可执行状态，如`/sbin/nologin`，防止未经授权的登录。 3. 密码策略：通过`vi /etc/login.defs`设置密码有效期最大天数，强制用户在下次登录时更改密码，并设定最小密码长度，增加安全性。 4. 命令历史限制：通过修改`.bash_history`配置文件或`HISTSIZE`和`HISTCONTROL`环境变量来限制命令历史记录的条数，保护用户操作记录。 5. 闲置超时注销：通过修改`~/.bashrc`或系统级的`/etc/profile`设置终端闲置超时后自动注销。 B. 使用`su`切换用户身份： `su`命令用于切换用户，配合`/etc/sudoers.d`中的PAM设置，可以实现特定用户对`su`命令的访问控制。例如，将用户添加到`wheel`组，并通过`pam_wheel.so`模块限制只有`wheel`组成员才能使用`su`到`root`。 C. `sudo`的使用： `sudo`提供了更细粒度的权限控制，允许指定用户执行特定命令。配置在`/etc/sudoers`文件中，例如： - 授权用户执行特定命令，如`%wheel ALL=(ALL) ALL`让`wheel`组用户无密码执行所有命令。 - 通过别名定义一组命令并授权，如`@reload = /sbin/service nginx reload, /sbin/service apache2 reload`，然后授权用户使用这个别名。 - 对特定用户限制命令，如`mikey ALL=(ALL) /sbin/*,!/sbin/ifconfig eth0*,!/usr/bin/vim`，允许`mikey`执行所有`/sbin/`下的命令，但排除特定命令。 D. `sudo`的日志功能： 通过修改`/etc/syslog.conf`，将`sudo`的日志记录到`/var/log/sudo.log`，便于审计和问题追踪。 Linux系统安全常规优化涉及了用户管理、权限控制、命令执行策略等多个层面，通过合理的配置可以大大提高系统的安全性。运维工程师需要根据实际需求和安全策略灵活应用这些知识，确保系统的稳定和安全。