Linux 账号管理应该注意的五个安全点,别等出事才后悔!
今天分享一下Linux账号管理的一些注意点。新手比较容易忽略。
Linux默认是允许root账户通过SSH远程登录的,这相当于把系统的最高权限账号暴露在公网,黑客只需要猜中密码就能搞事情。
正确做法就是将root管理员进行禁止登录。编辑 SSH 配置文件:
复制
vim /etc/ssh/sshd_config1.
找到这行并改成:
复制
PermitRootLogin no1.
然后重启 SSH 服务:
复制
systemctl restart sshd1.
建议创建一个普通用户 + sudo 权限,安全性高很多。但是有些公司为了方便,一般都是不设置这个,看公司要求。
2. 删除或锁定不再使用的账户一个被遗忘的账号,也许已经被人“借走”了权限。
检查长期未使用账户:
复制
lastlog1.
或者查看所有账号:
复制
cut -d: -f1 /etc/passwd1.
对不需要的账号执行以下操作:
锁定账号:复制
usermod -L 用户名1.
复制
userdel -r 用户名1.
比如lp,mail等用户可以进行禁用。
3. 限制sudo权限杜绝“人人都是管理员”。很多人为了方便,直接把所有用户加到sudoers里,出了问题找不到责任人,还可能被人“提权”操作。
正确姿势:
仅为可信用户配置 sudo。编辑 sudo 配置用:复制
visudo1.
复制
username ALL=(ALL) NOPASSWD:/usr/bin/systemctl status mysqld1.
别让弱密码成为漏洞。很多攻击都是从“123456”、“password”这种弱密码入手的。
(1) 加强密码策略:
编辑 /etc/login.defs 或使用 chage 命令:
复制
cat /etc/login.defs1.
复制
chage --maxdays 90 用户名 # 密码90天过期
chage --mindays 7 用户名 # 最短7天内不能修改密码1.2.
(2) 使用 pam 模块增强密码复杂度:
复制
vim /etc/pam.d/system-auth1.
添加或修改如下内容:
复制
password requisite pam_pwquality.so retry=3 minlen=10 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-11.
Linux本身提供了强大的日志系统,通过配置日志和审计策略,你可以溯源一切操作记录。
开启审计功能(auditd):
复制
yum install auditd && systemctl enable --now auditd1.
监控敏感操作,例如 /etc/passwd:
复制
auditctl -w /etc/passwd -p wa -k passwd_change
ausearch -k passwd_change1.2.
阅读剩余
THE END
