CentOS 7系統安全之賬號安全

2021-09-27 05:03:50 字數 2036 閱讀 2866

在 linux 系統中,除了超級使用者 root 之外,還有其他大量賬號只是用來維護系統運作、啟動或保持服務程序,一般是不允許登入的,因此也稱為非登入使用者賬號。為了確保系統的安全,這些使用者賬號的登入 shell 通常被設為/sbin/nologin,表示禁止終端登入。
對於 linux 伺服器中長期不用的使用者賬號,若無法確定是否應該刪除,可以暫時將其鎖定(具體操作可參照賬戶管理篇

如果伺服器中的使用者賬號已經固定,不再進行更改,還可以採取鎖定賬號配置檔案的方法。如圖我們執行「chattr +i /etc/passwd /etc/shadow」命令鎖定賬號檔案,在執行「lsattr /etc/passwd /etc/shadow」命令可以看到找檔案已鎖定,無法新增其他使用者。

如果鎖定了賬號檔案後需要新增新的使用者,可以執行「chattr -i /etc/passwd /etc/shadow」命令解鎖賬號檔案即可新增去建立新的使用者了。

1、在不安全的網路環境中,為了降低密碼被猜出或被暴力破解的風險,使用者應養成定期更改密碼的習慣,避免長期使用同乙個密碼。管理員可以在伺服器端限制使用者密碼的最大有效天數,對於密碼已過期的使用者,登入時將被要求重新設定密碼,否則將拒絕登入。

如圖我們執行「vim /etc/login.defs」命令進入配置檔案將密碼有效期設為30天。

下面我們建立使用者新使用者然後執行「vim /etc/shadow」命令檢視一下新使用者的密碼有效期。

2、然而針對已有的使用者我們可以執行「chage -m 30 wangwu」命令來修改已有賬號的密碼有效期。

3、在某些特殊情況下,如要求批量建立的使用者初次登入時必須自設密碼,根據安全規劃統一要求所有使用者更新密碼等,可以由管理員執行強制策略,以便使用者在下次登入時必須更改密碼。如圖我們執行「chage -d 0 wangwu」命令要求該使用者下一次登入時重設密碼。

shell 環境的命令歷史機制為使用者提供了極大的便利,但另一方面也給使用者帶來了潛在的風險。只要獲得使用者的命令歷史檔案,該使用者的命令操作過程將會一覽無餘,如果曾經在命令列輸入明文的密碼,則無意之中伺服器的安全壁壘又多了乙個缺口。

如圖我們執行「vim /etc/profile」命令進入配置檔案修改histsize 變數值,即可修改歷史命令記錄,再執行「source /etc/profile」命令生效環境變數即可。

下面我們來執行「history」命令檢視一下歷史命令記錄。

bash 終端環境中,還可以設定乙個閒置超時時間,當超過指定的時間沒有任何輸入時即自動登出終端,這樣可以有效避免當管理員不在時其他人員對伺服器的誤操作風險。閒置超時由變數 tmout 來控制,預設單位為秒(s)。
如圖我們執行「vim /etc/profile」命令進入配置檔案修改閒置超時由變數 tmout,再執行「source /etc/profile」命令生效環境變數即可。

Centos7 系統安全事故處理案例

ssh遠端操作很卡,估計網路頻寬已跑滿。通過網頁 console 登陸伺服器之後,看到很多奇怪的程序,基本可以判斷系統被非法 了。於是當機立斷,馬上關閉服務程序並斷網,所有操作通過console介面 通過分析發現在 etc init.d目錄下有許多這種莫名其妙的檔案,從檔案內容上看這些都是程序的啟動...

Centos7 系統安全事故處理案例

ssh遠端操作很卡,估計網路頻寬已跑滿。通過網頁 console 登陸伺服器之後,看到很多奇怪的程序,基本可以判斷系統被非法入侵了。於是當機立斷,馬上關閉服務程序並斷網,所有操作通過console介面 通過分析發現在 etc init.d目錄下有許多這種莫名其妙的檔案,從檔案內容上看這些都是程序的啟...

CentOS 系統安全配置

centos 系統安全配置 1 注釋掉不需要的使用者和使用者組 2 給下面的檔案加上不可更改屬性,從而防止非授權使用者獲得許可權 3 遮蔽 ctrl alt del 4 限制su命令 5 防止攻擊 6 限制不同檔案的許可權 1 注釋掉不需要的使用者和使用者組 vi etc passwd adm lp...