Linux账户安全设置和应用
【摘要】 账号锁定 查看账号 解锁账号[root@localhost ~]# usermod -L zhangsan[root@localhost ~]# passwd -S zhangsanzhangsan LK 2024-06-28 0 99999 7 -1 (密码已被锁定。)[root@localhost ~]# usermod -U zhangsan[root@localhost ~]# pa...
账号锁定 查看账号 解锁账号
[root@localhost ~]# usermod -L zhangsan
[root@localhost ~]# passwd -S zhangsan
zhangsan LK 2024-06-28 0 99999 7 -1 (密码已被锁定。)
[root@localhost ~]# usermod -U zhangsan
[root@localhost ~]# passwd -S zhangsan43
zhangsan PS 2024-06-28 0 99999 7 -1 (密码已设置,使用 SHA512 算法。)锁定文件 查看文件 解锁文件
[root@localhost ~]# chattr +i /etc/passwd /etc/shadow //锁定文件
[root@localhost ~]# lsattr /etc/passwd /etc/shadow //查看文件锁定状态
----i----------- /etc/passwd
----i----------- /etc/shadow
[root@localhost ~]# chattr -i /etc/passwd /etc/shadow //解锁文件
[root@localhost ~]# lsattr /etc/passwd /etc/shadow
---------------- /etc/passwd
---------------- /etc/shadow测试
锁定文件的时候是无法修改文件内容的 所以无法添加,删除账号,也不能更改密码,登录的Shell,宿主目录等信息的
[root@localhost ~]# chattr +i /etc/passwd /etc/shadow
[root@localhost ~]# useradd ok
useradd:无法打开 /etc/passwd
[root@localhost ~]# chattr -i /etc/passwd /etc/shadow
[root@localhost ~]# useradd ok
[root@localhost ~]# tail -1 /etc/passwd
ok:x:1004:1004::/home/ok:/bin/bash
2.密码安全控制
设置用户密码的最大有效天数
vi /etc/login.defs
25 PASS_MAX_DAYS 30修改完成之后 再次之后创建的用密码最大有效天数为30
使用这条命令是更改已经存在的用户
chage -M 30 ok
3.历史命令,自动注销
vim /etc/profile
HISTSIZE=100
此外我们还可以修改 当用户推出登录的时候也就是推出bash环境中 所有的命令操作和记录都是会删除的
vim ~/.bash_logout
# ~/.bash_logout
history -c
clear4.用户和提权
1.su命令——切换用户
我们从ok用户切换到root用户
[ok@localhost ~]$ pwd
/home/ok
[ok@localhost ~]$ su - root
密码:
上一次登录:五 6月 28 12:09:50 CST 2024pts/0 上
[root@localhost ~]# pwd
/root2.pam_while认证
如果启用了pam_while认证那么 没有加入wheel组中的用户无法使用su命令
开启配置文件选项
vim /etc/pam.d/su
6 auth required pam_wheel.so use_uid[zhangsan@localhost ~]$ su - root
密码:
: 拒绝权限
[ok@localhost ~]$ su - root
密码:
上一次登录:五 6月 28 12:10:59 CST 2024pts/0 上
[root@localhost ~]#3.sudo命令
visudo
[zhangsan@localhost ~]$ ifconfig ens33:0 192.168.192.10
SIOCSIFADDR: 不允许的操作
SIOCSIFFLAGS: 不允许的操作
[zhangsan@localhost ~]$ sudo ifconfig ens33:0 192.168.192.10
[root@localhost ~]# su - ok
上一次登录:五 6月 28 12:26:04 CST 2024pts/0 上
[ok@localhost ~]$ sudo ifconfig ens33:1 192.168.192.11
[sudo] password for ok:
可以结合通配符* 和反选!来使用
如下我授权xiaoming用户可以执行/sbin/目录下除了ifconfig和route以外的所有命令
xiaoming local=/sbin/*,!/sbin/ifconfig.!/sbin/route、
开启sudo日志
visudo
加入一下内容
Defults logfile = "/var/log/sudo"测试实验
我切换到ok用户下使用sudo创建一个用户 查看sudo日志是否显示
[root@localhost ~]# su - ok
上一次登录:五 6月 28 13:34:54 CST 2024pts/0 上
[ok@localhost ~]$ sudo useradd ok2查看日志
[root@localhost ~]# tail /var/log/sudo
Jun 28 13:40:27 : ok : TTY=pts/0 ; PWD=/home/ok ; USER=root ;
COMMAND=/sbin/useradd ok2
【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)