在Linux系统中,用户帐号是用户的身份符号,它由用户名和用户口令构成。 系统将输入的用户名寄放在/etc/passwd文件中,
而将输入的口令以加密的形式寄放在/etc/shadow文件中。
在正常情况下,这些口令和其他信息由操作系统维护,可以是超级用户(root)进行一些操作。我们做安全加固的时候会对linux中的用户管理部分一般做如下安全加固。敬请参考:
1.删除的用户帐号和组帐号:
#userdel username
userdel adm
userdel lp
userdel sync
userdel shutdown
userdel halt
userdel news
userdel uucp
userdel operator
userdel games
userdel gopher
以上所删除用户为系统默认创建,但是在常用做事器中根本不用的一些帐号,但是这些帐号常被黑客操作和进行攻击。
#groupdel username
groupdel adm
groupdel lp
groupdel news
groupdel uucp
groupdel games
groupdel dip
同样,上面也是系统安装默认创建的一些组帐号。所以会增加遭受进攻的机会。
2.用户密码设置:
安装linux时默认的密码 最小长度是5个字节,但这并不足,要把它设为8个字节。更改最短密码长度要编辑 login.defs文件(vi /etc/login.defs)
PASS_MAX_DAYS 99999 ##密码 设置最长有效期(默认值)
PASS_MIN_DAYS 0 ##密码 设置最短有效期
PASS_MIN_LEN 5 ##设置密码 最小长度
PASS_WARN_AGE 7 ##提前几天告诫用户密码 即将过期 。
3.修改主动注销帐号:
主动 注销帐号的登录,在Linux 系统 中root账户是具有最高特权的。
假如系统管理员在离开系统之前忘了注销root账户,那将会带来很大的安全隐患,应当让系统主动注销。通过批改账户中“TMOUT”参数,可以实现此功能。TMOUT按秒设定。
编辑profile文件(vi /etc/profile),在”HISTSIZE=”后头介入下面这行:
TMOUT=300
300,表示300秒,也就是表示5分钟。假如系统中登陆的用户在5分钟内都没有活动,那么系统会主动注销这个账户。
4.给系统的用户名密码存放文件加锁:
chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/gshadow
chattr +i /etc/group
注:chattr是改变文件属性的命令 ,参数i代表不得随意更动文件或目录,此处的i为不可批改位(immutable)。查看属性:lsattr /etc/passwd