2021-05-12 14:32:11
CentOS 7系統安全之賬號安全詳解
一、系統賬號清理
在 Linux 系統中,除了超級使用者 root 之外,還有其他大量賬號只是用來維護系統運作、啟動或保持服務進程,一般是不允許登入的,因此也稱為非登入使用者賬號。為了確保系統的安全,這些使用者賬號的登入 Shell 通常被設為/sbin/nologin,表示禁止終端登入。
對於 Linux 伺服器中長期不用的使用者賬號,若無法確定是否應該刪除,可以暫時將其鎖定(具體操作可參照賬戶管理篇 https://www.linuxidc.com/Linux/2019-08/160389.htm)。
如果伺服器中的使用者賬號已經固定,不再進行更改,還可以採取鎖定賬號組態檔的方法。如圖我們執行“chattr +i /etc/passwd /etc/shadow”命令鎖定賬號檔案,在執行“lsattr /etc/passwd /etc/shadow”命令可以看到找檔案已鎖定,無法新增其他使用者。
如果鎖定了賬號檔案後需要新增新的使用者,可以執行“chattr -i /etc/passwd /etc/shadow”命令解鎖賬號檔案即可新增去建立新的使用者了。
二、密碼安全控制
1、在不安全的網路環境中,為了降低密碼被猜出或被暴力破解的風險,使用者應養成定期更改密碼的習慣,避免長期使用同一個密碼。管理員可以在伺服器端限制使用者密碼的最大有效天數,對於密碼已過期的使用者,登入時將被要求重新設定密碼,否則將拒絕登入。
如圖我們執行“vim /etc/login.defs”命令進入組態檔將密碼有效期設為30天。
下面我們建立使用者新使用者然後執行“vim /etc/shadow”命令檢視一下新使用者的密碼有效期。
2、然而針對已有的使用者我們可以執行“chage -M 30 wangwu”命令來修改已有賬號的密碼有效期。
3、在某些特殊情況下,如要求批次建立的使用者初次登入時必須自設密碼,根據安全規劃統一要求所有使用者更新密碼等,可以由管理員執行強制策略,以便使用者在下次登入時必須更改密碼。如圖我們執行“chage -d 0 wangwu”命令要求該使用者下一次登入時重設密碼。
三、命令歷史限制
Shell 環境的命令歷史機制為使用者提供了極大的便利,但另一方面也給使用者帶來了潛在的風險。只要獲得使用者的命令歷史檔案,該使用者的命令操作過程將會一覽無餘,如果曾經在命令列輸入明文的密碼,則無意之中伺服器的安全壁壘又多了一個缺口。
如圖我們執行“vim /etc/profile”命令進入組態檔修改HISTSIZE 變數值,即可修改歷史命令記錄,再執行“source /etc/profile”命令生效環境變數即可。
下面我們來執行“history”命令檢視一下歷史命令記錄。
四、終端自動登出
Bash 終端環境中,還可以設定一個閒置超時時間,當超過指定的時間沒有任何輸入時即自動登出終端,這樣可以有效避免當管理員不在時其他人員對伺服器的誤操作風險。閒置超時由變數 TMOUT 來控制,預設單位為秒(s)。
如圖我們執行“vim /etc/profile”命令進入組態檔修改閒置超時由變數 TMOUT,再執行“source /etc/profile”命令生效環境變數即可。
相關文章