Linux系统安全优化:账号权限与sudo管理
需积分: 33 144 浏览量
更新于2024-09-11
收藏 694KB DOC 举报
"Linux系统安全常规优化是每个运维工程师必须掌握的关键技能,涉及到用户账号安全、权限管理和命令执行控制等多个方面。以下是对这些知识点的详细解释:
A. 用户账号安全优化:
1. 删除不使用的用户和组:为了减少潜在的安全风险,应及时清理不再需要的用户和组,避免被恶意利用。
2. 设置无效Shell:确保服务和程序用户的登录Shell为非可执行状态,如`/sbin/nologin`,防止未经授权的登录。
3. 密码策略:通过`vi /etc/login.defs`设置密码有效期最大天数,强制用户在下次登录时更改密码,并设定最小密码长度,增加安全性。
4. 命令历史限制:通过修改`.bash_history`配置文件或`HISTSIZE`和`HISTCONTROL`环境变量来限制命令历史记录的条数,保护用户操作记录。
5. 闲置超时注销:通过修改`~/.bashrc`或系统级的`/etc/profile`设置终端闲置超时后自动注销。
B. 使用`su`切换用户身份:
`su`命令用于切换用户,配合`/etc/sudoers.d`中的PAM设置,可以实现特定用户对`su`命令的访问控制。例如,将用户添加到`wheel`组,并通过`pam_wheel.so`模块限制只有`wheel`组成员才能使用`su`到`root`。
C. `sudo`的使用:
`sudo`提供了更细粒度的权限控制,允许指定用户执行特定命令。配置在`/etc/sudoers`文件中,例如:
- 授权用户执行特定命令,如`%wheel ALL=(ALL) ALL`让`wheel`组用户无密码执行所有命令。
- 通过别名定义一组命令并授权,如`@reload = /sbin/service nginx reload, /sbin/service apache2 reload`,然后授权用户使用这个别名。
- 对特定用户限制命令,如`mikey ALL=(ALL) /sbin/*,!/sbin/ifconfig eth0*,!/usr/bin/vim`,允许`mikey`执行所有`/sbin/`下的命令,但排除特定命令。
D. `sudo`的日志功能:
通过修改`/etc/syslog.conf`,将`sudo`的日志记录到`/var/log/sudo.log`,便于审计和问题追踪。
Linux系统安全常规优化涉及了用户管理、权限控制、命令执行策略等多个层面,通过合理的配置可以大大提高系统的安全性。运维工程师需要根据实际需求和安全策略灵活应用这些知识,确保系统的稳定和安全。
2021-01-11 上传
2014-06-15 上传
2023-09-24 上传
2024-11-03 上传
2023-07-01 上传
2023-07-09 上传
2023-08-11 上传
2023-07-15 上传
cnscn3000
- 粉丝: 0
- 资源: 2
最新资源
- 正整数数组验证库:确保值符合正整数规则
- 系统移植工具集:镜像、工具链及其他必备软件包
- 掌握JavaScript加密技术:客户端加密核心要点
- AWS环境下Java应用的构建与优化指南
- Grav插件动态调整上传图像大小提高性能
- InversifyJS示例应用:演示OOP与依赖注入
- Laravel与Workerman构建PHP WebSocket即时通讯解决方案
- 前端开发利器:SPRjs快速粘合JavaScript文件脚本
- Windows平台RNNoise演示及编译方法说明
- GitHub Action实现站点自动化部署到网格环境
- Delphi实现磁盘容量检测与柱状图展示
- 亲测可用的简易微信抽奖小程序源码分享
- 如何利用JD抢单助手提升秒杀成功率
- 快速部署WordPress:使用Docker和generator-docker-wordpress
- 探索多功能计算器:日志记录与数据转换能力
- WearableSensing: 使用Java连接Zephyr Bioharness数据到服务器