文章目录
系统账号清理
非登录用户的shell设为/sbin/nologin
vi /etc/passwd
在配置文件中找到要设置的账号;
把之前的/bin/bash改成/sbin/nologin
用户就不可登录了;
锁定长期不使用的账号;
两种锁定方式:
1.passwd -l 锁定
2.passwd -u 解锁
3.usermod -L 锁定
4.usermod -U 解锁
删除无用的账号;
userdel + 用户名
锁定账号文件passwd shadow;
chattr +i /etc/passwd /etc/shadow 锁定
lsattr /etc/passwd /etc/shadow
锁定之后咱们的账号文件只能读,是不能写入的;
chattr -i /etc/passwd /etc/shadow 解锁
lsattr /etc/passwd /etc/shadow
密码安全控制
适用于新建用户;
vi /etc/login.defs 编辑配置文件
PASS_MAX_DAYS 30 输入三十天的有效期
适用于已有的用户
chage -M 30 用户as
强制在下次登录时更改密码;
chage -d 0 as用户 下次登录的时候会要求更改密码;
基础安全措施
命令历史限制
减少记录的命令条数
vi /etc/profile 进配置文件;
/HISTSIZE 查找下参数,把后面的后缀更改为自己想要设置的时间;
保存;
终端自动注销
闲置n秒后自动注销
vi .bash_profile 进入配置文件
export TMOUT=60 终端闲置时间超过60秒,自动注销账户;
wq 保存
source .bash_profile 同步一下,生效
限制用户su命令
默认情况下;咱们如果在任何用户操作时都允许使用su命令,有机会反复试root用户的登录密码,那么就要用到su - root 命令,会带来安全风险;
怎么限制部分用户无法使用su命令呢?那么来了:
咱们需要将允许使用su命令的用户加入到wheel组里;只有现在wheel组下的用户才可以使用su命令
gpasswd -a as1 wheel 将as1用户添加到wheel组里
tail /etc/group 查看一下
vi /etc/pam.d/su
auth sufficient pam rootok.so
auth required pam_ wheel.so use_ uid
配置文件里找到这两条配置生效;
保存;
配置sudo授权用户
- 先在as用户上测试,先输入(ifconfig ens33:1 192.168.10.10)创建网卡;
发现是不允许操作的,因为没有权限; - 需要在root用户visudo 或者/etc/sudoers都可以进配置文件添加提权用户;
- 配置文件末行加入你想要提权的用户:
as KGC=/sbin/*,!/sbin/reboot (as用户在KGC主机下执行/sbin下所有命令,除了reboot) - 再去as用户上再去(sudo ifconfig ens33:1 192.168.10.10)创建网卡那条命令,发现是可以做操作的权限已经有了;
- ifconfig 查看一下是不是创建成功;
as用户:
ifconfig ens33:1 192.168.10.10 会发现没有权限;
root:
visudo或vi /etc/sudoers
(as KGC=/sbin/*,!/sbin/reboot)
as用户:
sudo ifconfig ens33:1 192.168.10.10 带权限的操作
输入密码,就会发现可以了
ifconfig 查看一下;
系统加固,BIOS加固
实现多层系统密码加固!!!!奥利给!!!
- 按f2进入BIOS界面,输入密码:自定义
- 可以设置开机自启(enable)开机的话进入系统就要输入密码,也可以设置打开开机不自启;再次进入BIOS是需要密码的
- 设置开机自启时
- 进入BIOS需要输入密码