!!系统账号安全及相关实际操作

系统账号清理

1.将登录用户的shell设为nologin

vi /etc/passwd或者vi /etc/shadow

修改shell环境

登入ltpdsba账号验证

2.锁定长期不使用的账号

使用passwd命令
passwd -l 账号名 ##锁定账号

3.删除无用账号

使用userdel命令
userdel 账号名 ##删除账号

4.锁定账号文件

利用chattr命令，来改变账号文件/etc/passwd和/etc/shadow的属性
“+” ：开启某项属性
“-”：关闭某项属性
“i” ：不得更改文件或目录

设置密码有效期

1.用于对新建用户设置密码有效期

vi /etc/login.defs ## 修改改账号限制文件

2.用于对已有用户设置密码有效期

chage -M 天数 用户名 ##给用户设置密码有效期
chage -l 用户名 ##查看密码有效期信息

限制历史命令记录数量

限制历史命令条数（在/etc/profile配置文件中找到HISTSIZE修改）
vi /etc/profile ##修改配置文件
source /etc/profile ##生效修改后的配置文件

设置超时自动注销

vi ~/.bash_profile ##修改配置文件
source ~/.bash_profile ##生效修改后的文件

限制用户使用su命令

1. su命令的安全隐患

 默认情况下任何用户都可以使用su命令，可以反复尝试其他用户的登录密码，带来安全隐患。
 为了加强su命令的使用控制，可以借助PAM认证模块，只允许个别用户（wheel组内用户）使用su命令进行切换。

2.使用PAM认证限制用户使用su命令

vi /etc/pam.d/su ##编辑/etc/pam.d/su
vi /etc/login.defs ##编辑/etc/login.defs
gpasswd -a 用户 wheel ##将用户加入wheel组