Linux用户帐号安全优化

Linux 用户帐号安全优化

Red Hat Linux 提供了很多方法来确保用户帐号的安全。对于帐号安全的重要性，我自不必多说，想毕大家都非常的重视这个问题。今天咱们先来看一些用的比较多比较实用的。我这里总结了八个方法，希望路过的高人们能传授更多更有效的方法。

一．             使用su命令

su 命令相信大家经常都在用，无非就是个切换用户。但是现在我们要做一件事情就是只让 zpp 用户通过 su 命令切换为管理员，而其它用户不可以使用 su 命令切换用户身份。可以借助 pam_wheel 模块来控制允许使用 su 的用户。实现的步骤如下：

1.      将允许使用 su 命令的用户 zpp 加入 wheel 组。

 

说明： wheel 组是默认由 am_wheel 模块提供的用于使用 su 功能的用户组，只要把 zpp 加入 wheel 组，并设置当使用 su 命令时必须通过 pam_wheel 模块认证即可

2.      修改 PAM 设置，添加 pam_wheel 认证。

 

说明：这一行不用添加默认就有了咱们把“ # ”去掉就可以用了。

好了，现在咱们来验证一下。可以看到只有 zpp 用户能使用 su 命令，如下：

 

而没有被添加到 wheel 组中的 user1 用户是无法使用 su 命令切换用户的，如下：

 

二．             确认程序或服务用户的登录Shell不可用

有些系统或服务运行的帐号，比如： apache 、 dovecot 、 ftp 、 rpm 等，建议将它们的登录 Shell 修改为“ /sbin/nologin ”。做法很简单如下：

比如咱们要把邮件用户 zpp 的登录脚本修改为“ /sbin/nologin ”，下面是两种简单的方法：

方法一：直接到 /etc/passwd 文件中去把 zpp 的录脚本修改为“ /sbin/nologin ”。

 

方法二：一条命令搞定，如下：

［ root@localhost ~ ］ #usermod �Cs /sbin/nologin zpp

三．             限制用户的密码有效期

这就相当于 windows 密码策略中的密码最长使用期限。当我们限制了天数之后可以减少密码被猜出或被暴力破解的风险。咱们可以通过修改“ /etc/login.defs ”文件实现。如下：

 

说明：改成上面这样，新建立的用户密码最长就只能用 30 天了。如果用户经建立了哪就用 下图中的方法解决这个问题

 

现在用户在登录服务器时，如果密码已经超过有效期，系统会要求重新设置一个新的密码，否则用户将无法登录。我就不验证了哈！不然我还得等 30 天啊！

四．             指定用户在下次登录时必须修改密码

这个功能好！咱们做网工的最怕别人冤枉我们。别人的密码咱们不知道最好，免得给自己找麻烦。

下面是通过命令的方式指定 zpp 用户下次登录时必须修改密码

 

或者去 shadow 文件中找到 zpp 用户，将用冒号“：”分隔的第 3 列（ LAST DAY 域）的值设置为 0 即可，如图：

 

现在我们用 zpp 用户来验证一下吧，如图必须修改了密码才可以登录

 

五．             限制用户密码的最小长度

有的用户喜欢用诸如 123 、 abc 、 888 这样的密码，这就太危险了！在 Red Hat5 系统中，主要基于 cracklib 模块检查用户密码的复杂性和安全强度，增加最小长度（ minlen ）参数的值可以提高密码的安全性。默认情况下， minlen 的值为 10 ，对应的用户口令最短为 6 ， cracklib 基于密码串长度和复杂性同时进行检查，所以 minlen 的值并不直接代表用户设置密码的长度。

下图是通过 PAM （ Pluggable Authentication Module ，可插拔认证模块）机制修改密码最小长度限制。

 

这样设置之后密码太短或太简单时将设置不成功，密码因为看不见所以我也截不了图，大家自己试试看啊！

六．             限制记录命令历史的条数

命令历史固然好，但也有安全隐患。万一谁获得了命令历史记录文件，又万一在这个历史记录文件中有曾经输入过的明文密码，那 … … 不敢往下想了。赶快看看下图中的设置吧

 

说明：将所有用户的命令历史记录为 100 条（默认的 1/10 ），并且设置当前用户在注销登录后自动清空命令历史记录。

七．             设置闲置超时自动注销终端

为了安全起见，咱们使用终端时，可以设置一个 TMOUT 变量，当超过指定的时间没有输入时就自动注销。以防止咱们去了洗手间或接听电话时，其它人对服务器的误操作风险。

下图中将闲置超时时间设置为 600 秒，注意要重新登录才生效。

 

八．             删除系统中不使用的用户和组

Mysql 、 apache 、 named 、 news… …( 我这就不一一列举了 ) ，这些用户和组只要是没用的都可以删，万一被黑客利用了，管理员是很难发现的。如果您在为到底删不删而犹豫不决时，那就把它禁用了吧。使用命令“ passwd �Cl 用户名”就可以做这个事，或者直接修改 shaow 文件，在用户的密码字符串前添加“！”。