5。1Linux安全防护之账号安全控制

　　系统安全基础应用
　　一 账号安装控制
　　·系统账号清理
　　1将非登录用户的Shell设为/sbin/nologin
　　[root@mazi ~]# usermod -s /sbin/nologin lisi
　　2删除无用的账号
　　[root@mazi ~]# userdel -r mazi -r连同宿主目录一起删除
　　3锁定长期不使用的账号
　　[root@mazi ~]# usermod -L maz //锁定
　　[root@mazi ~]# passwd -S maz //查看状态
　　maz LK 2013-08-19 0 99999 7 -1 (Password locked .)
　　[root@mazi ~]# usermod -U maz //解锁
　　[root@mazi ~]# passwd -S maz
　　maz NP 2013-08-19 0 99999 7 -1 (Empty password .)
　　4锁定账号文件passwd、shadow
　　锁定一个文件，不能对此文件做任何操作；锁定之后就不能执行创建用户和修改密码的操作
　　锁定和查看
　　解锁和查看
　　·密码安全机制
　　1设置密码有效期（默认为99999天）
　　方法一：修改配置文件，修改之后所有新建的用户将应用，之前存在的用户不变
　　方法二：直接对已创建的用户进行更改
　　2要求用户下次登录时修改密码
　　·命令历史限制
　　Shell环境的命令历史记录机制会记录之前使用过的1000条最近命令，如果有明文密码记录，这也是不安全因素；因此需要限制显示条数和系统注销时自动清空记录
　　限制显示条目
　　方法一：修改配置文件，修改之后对重新登录的用户有效
　　方法二：直接生效设置
　　注销时自动清空历史记录条目
　　在/root/.bash_logout脚本中的命令会在注销时自动执行，所以可以将history -c 添加进去 清除历史条目
　　·终端自动注销
　　当指定时间用户没有任何操作则自动注销终端
　　方法一：修改配置文件；用户重新登录生效；手动输入命令
　　方法二：直接配置生效
　　二 用户切换与提权
　　·Su命令切换用户
　　是用su命令可以切换为一个指定的用户，同时拥有该用户的所有权限，切换时需要指定用户的密码；但是root用户切换其他用户时可不需要密码
　　格式：su - 目标用户  ＂- ＂= ＂--login ＂= ＂--l ＂表示切换后使用目标的登录shell，如果省略则仅切换身份，不切换环境
　　切换和退出示例
　　限制使用su命令的用户： 默认情况下所有用户都可以使用su命令，启用pam_wheel认证模块，可以只让wheel组的用户使用su命令
　　修改配置文件，启用认证：认证默认设置好的，只需将注释变为命令即可
　　将授权用户添加到wheel组
　　添加到wheel组里的用户可以正常使用su命令，没有添加进组的用户在切换其他用户时提示需要输入密码，但是即使输入正确的密码也会提示错误
　　查看su操作记录
　　使用su命令切换用户的操作都将会记录到安全日志/var/log/sercure文件中
　　·sudo机制提升用户权限
　　第一种机制：以其他用户的身份执行某个命令
　　第二种机制：普通用户登录后没有多少权限，甚至没有查看IP的权限；
　　Root用户通过修改配置文件/etc/sudoers来给指定用户授权；因为此文件的默认权限为400比较低，因此即使root用户修改后也需要使用＂w!＂来强行保存退出；也可以种专门的visdo工具修改；否则不能保存；修改格式：用户名 主机名=命令的完全路径1，….2
　　用户：需要授权的用户；如果是需要授权的组，采用＂%组名＂的形式
　　主机：设置为自己的主机名
　　命令：需要授与的权限命令的完全路径，多个命令之间用逗号隔开
　　注：一般一行一条授权记录
　　如让lisi用户能查看IP地址（默认普通用户不能查看）使用visudo 等同于vi /etc/sudoers
　　切换到lisi用户进行测试，命令前需要加sudo，而且需要绝对路径；第一次使用时需要自己的密码验证；第二次命令如果超过五分钟就需要再次密码验证
　　也可以将用户添加到wheel组，设置为所有主机都可以不需要密码验证让用户拥有所有权限
　　也可以使用通配符* 、取反符！ ，当需要某个目录下所有命令并取消个别时可用到
　　syrianer localhost=/sbin/*,!/sbin/ifconfig,!/sbin/route
　　·查看sudo操作记录
　　默认情况下sudo的操作不会被记录，需要手动添加启用；在Defaults行添加
　　查看日志
　　·查看sudo的授权列表