用户账号是计算机使用者的身份凭证或标识,每个要访问系统资源的人,必须凭借其用户账号才能进入计算机。
基本安全措施 1、系统账号清理
将非登录用户的shell设为/sbin/nologin
删除无用的账号
锁定长期不使用的账号
chattr +i 锁定文件
chattr -i 解锁文件
lsattr 查看文件锁定情况
我们可以通过锁定passwd、shadow文件阻止创建新的用户
[root@localhost ~]# chattr +i /etc/passwd /etc/shadow //锁定passwd、shadow文件 [root@localhost ~]# lsattr /etc/passwd /etc/shadow //查看锁定情况 ----i----------- /etc/passwd ----i----------- /etc/shadow //文件已锁定 [root@localhost ~]# useradd siti //创建用户 useradd:无法打开 /etc/passwd //无法打开文件,用户无法创建 [root@localhost ~]# chattr -i /etc/passwd /etc/shadow //解锁文件 [root@localhost ~]# lsattr /etc/passwd /etc/shadow //查看文件锁定信息 ---------------- /etc/passwd //文件已解锁 ---------------- /etc/shadow [root@localhost home]# useradd st11 //创建用户 [root@localhost home]# echo "123123" | passwd --stdin st11 //设置用户密码 更改用户 st11 的密码 。 passwd:所有的身份验证令牌已经成功更新。 //设置成功 2、密码安全控制设置密码有效期
vim /etc/login.defs配置文件中设置。适用于新建用户
用过命令chage -M [密码有效期] [用户名]设置用户密码有效期
[root@localhost home]# vim /etc/shadow //查看所用户密码信息 root:$6$DErFk.wqtcw55ui.$sbinnItTXo1wtxsOmThAEwBXHluuCC04as2tSUvoCEdDTHMTumpl/VcjH6KCYkJh0xc3KqLdcTq2NTe3K7nTi1::0:99999:7::: //root用户密码有效期为99999 bin:*:17110:0:99999:7::: daemon:*:17110:0:99999:7::: ...//省略部分内容... tcpdump:!!:18117:::::: sun:$6$g2hmfiVD2XG/zY37$53BhBT.2ILsuF22KZ2BRaE/6hmG/HsylLi1EuARoWzc8EgBbqN64T0DmyCfGsowWGFuCKDubUkBIxh1TM69Vv0:18117:0:99999:7::: //sun用户密码有效期为99999 st11:$6$ZGozUglO$ymyQEtkL//rzx8UdgDcy1yd3WVLiET9K6xrC.dT0lUnNH17dzkuSxkqepAC5plPlad5VWrewJOkAKJxdmiYLZ.:18136:0:99999:7::: //st11用户密码有效期为99999 :q //退出 [root@localhost home]# vim /etc/login.defs //进入密码配置文件,设置密码有效期 ...//省略部分内容... # PASS_MIN_DAYS Minimum number of days allowed between password changes. # PASS_MIN_LEN Minimum acceptable password length. # PASS_WARN_AGE Number of days warning given before a password expires. # PASS_MAX_DAYS 30 //密码最长有效期 更改99999为30 PASS_MIN_DAYS 0 //密码最短有效期 PASS_MIN_LEN 5 //密码最短字符长度 PASS_WARN_AGE 7 //密码过期前提前几天提醒 ...//省略部分内容... /99999 //查找定位99999位置 //更改完成后:wq保存退出 [root@localhost ~]# useradd siti //创建用户 [root@localhost ~]# passwd siti //设置用户密码 更改用户 siti 的密码 。 新的 密码: 无效的密码: 密码少于 8 个字符 重新输入新的 密码: passwd:所有的身份验证令牌已经成功更新。 [root@localhost ~]# vim /etc/shadow //查看所有用户密码信息 root:$6$DErFk.wqtcw55ui.$sbinnItTXo1wtxsOmThAEwBXHluuCC04as2tSUvoCEdDTHMTumpl/VcjH6KCYkJh0xc3KqLdcTq2NTe3K7nTi1::0:99999:7::: //密码有效期未变 bin:*:17110:0:99999:7::: daemon:*:17110:0:99999:7::: nome-initial-setup:!!:18117:::::: ...//省略部分内容... avahi:!!:18117:::::: postfix:!!:18117:::::: tcpdump:!!:18117:::::: sun:$6$g2hmfiVD2XG/zY37$53BhBT.2ILsuF22KZ2BRaE/6hmG/HsylLi1EuARoWzc8EgBbqN64T0DmyCfGsowWGFuCKDubUkBIxh1TM69Vv0:18117:0:99999:7::: //密码有效期未变 st11:$6$ZGozUglO$ymyQEtkL//rzx8UdgDcy1yd3WVLiET9K6xrC.dT0lUnNH17dzkuSxkqepAC5plPlad5VWrewJOkAKJxdmiYLZ.:18136:0:99999:7::: //密码有效期未变 siti:$6$RUXRmwz/$046PV4WYKzGpp.32FT7GKu04jvaCkut/d2GjtseMi1MnU1YfGMy1.AJdtOPZByWCyfP05LqoRNe0OT5tz1FUv1:18136:0:30:7::: //新创建的用户siti用户密码有效期为30天 [root@localhost ~]# chage -M 30 st11 //更改st11用户密码有效期为30天 [root@localhost ~]# vim /etc/shadow //查看所有用户密码信息 root:$6$DErFk.wqtcw55ui.$sbinnItTXo1wtxsOmThAEwBXHluuCC04as2tSUvoCEdDTHMTumpl/VcjH6KCYkJh0xc3KqLdcTq2NTe3K7nTi1::0:99999:7::: bin:*:17110:0:99999:7::: daemon:*:17110:0:99999:7::: ...//省略部分内容... tcpdump:!!:18117:::::: sun:$6$g2hmfiVD2XG/zY37$53BhBT.2ILsuF22KZ2BRaE/6hmG/HsylLi1EuARoWzc8EgBbqN64T0DmyCfGsowWGFuCKDubUkBIxh1TM69Vv0:18117:0:99999:7::: st11:$6$ZGozUglO$ymyQEtkL//rzx8UdgDcy1yd3WVLiET9K6xrC.dT0lUnNH17dzkuSxkqepAC5plPlad5VWrewJOkAKJxdmiYLZ.:18136:0:30:7::: //st11用户密码有效期更改未30天 siti:$6$RUXRmwz/$046PV4WYKzGpp.32FT7GKu04jvaCkut/d2GjtseMi1MnU1YfGMy1.AJdtOPZByWCyfP05LqoRNe0OT5tz1FUv1:18136:0:30:7:::
要求用户下次登录时修改密码
chage -d 0 用户名:强制用户在下次登录时更改密码
使用这条命令后,当指定用户登录设置密码时,设置的密码是有条件的,就是设置的密码不允许用连续的字母和阿拉伯数字设置密码,否则无法重新设置密,因此此命令不建议使用。
[root@localhost ~]# chage -d -0 st11