在Linux系統中,用戶帳號是用戶的身份符號,它由用戶名和用戶口令構成。 系統將輸入的用戶名寄放在/etc/passwd文件中,
而將輸入的口令以加密的形式寄放在/etc/shadow文件中。
在正常情況下,這些口令和其他信息由操作系統維護,可以是超級用戶(root)進行一些操作。我們做安全加固的時候會對linux中的用戶管理部分一般做如下安全加固。敬請參考:
1.刪除的用戶帳號和組帳號:
#userdel username
userdel adm
userdel lp
userdel sync
userdel shutdown
userdel halt
userdel news
userdel uucp
userdel operator
userdel games
userdel gopher
以上所刪除用戶為系統默認創建,但是在常用做事器中根本不用的一些帳號,但是這些帳號常被黑客操作和進行攻擊。
#groupdel username
groupdel adm
groupdel lp
groupdel news
groupdel uucp
groupdel games
groupdel dip
同樣,上面也是系統安裝默認創建的一些組帳號。所以會增加遭受進攻的機會。
2.用戶密碼設置:
安裝linux時默認的密碼 最小長度是5個字節,但這並不足,要把它設為8個字節。更改最短密碼長度要編輯 login.defs文件(vi /etc/login.defs)
PASS_MAX_DAYS 99999 ##密碼 設置最長有效期(默認值)
PASS_MIN_DAYS 0 ##密碼 設置最短有效期
PASS_MIN_LEN 5 ##設置密碼 最小長度
PASS_WARN_AGE 7 ##提前幾天告誡用戶密碼 即將過期 。
3.修改主動注銷帳號:
主動 注銷帳號的登錄,在Linux 系統 中root賬戶是具有最高特權的。
假如系統管理員在離開系統之前忘了注銷root賬戶,那將會帶來很大的安全隱患,應當讓系統主動注銷。通過批改賬戶中“TMOUT”參數,可以實現此功能。TMOUT按秒設定。
編輯profile文件(vi /etc/profile),在”HISTSIZE=”後頭介入下面這行:
TMOUT=300
300,表示300秒,也就是表示5分鐘。假如系統中登陸的用戶在5分鐘內都沒有活動,那麼系統會主動注銷這個賬戶。
4.給系統的用戶名密碼存放文件加鎖:
chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/gshadow
chattr +i /etc/group
注:chattr是改變文件屬性的命令 ,參數i代表不得隨意更動文件或目錄,此處的i為不可批改位(immutable)。查看屬性:lsattr /etc/passwd