系统安全及应用 (一) 账号安全控制（清理，删除，锁定，锁文件 i锁和 a锁）

作为一个开放源代码的操作系统，linux系统以其安全性，高效稳定而广泛应用，主要从账户安全，系统引导，登录控制的角度，优化linux系统的安全性，linux的环境的弱口令检查，网络扫描等安全工具的构建和使用，帮助运维人员查找安全隐患，及时采取有针对性的措施。

账号安全控制

用户账号,是计算机使用者的身份凭证，每个访问系统资源的人,必须要有账号才能登录计算机，在Linux中，提供了多种机制来确保用户账号的安全使用。

系统账号清理

在Linux系统中,除了用户手动创建的各种账号外,还包括随系统或程序安装过程中生成的大量其他账号，除了超级用户root之外,其他大量的账户只是用来维护系统运作、启动或保持服务进程,一般不允许登陆，称为非登录用户。为了保持系统安全,这些用户的登陆shell通常是/sbin/nologin, 表示禁止登录。确保不被人为改动
[root@localhost ~]# grep “sbin/nologin” /etc/passwd

删除账号

各种非登录用户中，有一些很少用到， 如news.uucp、games、 gopher。直接删除即可，还有一些随着应用程序的卸载未能自动删除，则需要管理员手动清除
[root@localhost ~]# userdel news.uucp
[root@localhost ~]# userdel games
[root@localhost ~]# userdel gopher

账号锁定

对于一些长期不用的账号, 若无法确定是否删除，可以暂时锁定(用usermod、 passwd命令 都可以锁定、解锁账号)

[root@localhost ~]# usermod -L zhangsan//锁定账号
[root@localhost ~]# passwd -l zhangsan//锁定账号

[root@localhost ~]# passwd -S zhangsan//查看账号状态
zhangsan LK 2017-12-22 0 99999 7-1 (密码已被锁定。)

[root@localhost ~]# usermod -U zhangsan///解锁账号
[root@localhost ~]# passwd -u zhangsan///解锁账号

若用passwd -l 命令对某账号进行锁定，若使用usermod -U进行解锁，需要进行两次操作usermod -U，才可以解锁

锁定账号配置文件 i锁

如果服务器中的账号已经固定，不进行更改，还可以采用锁定账号配置文件的方法。使用chattr命令锁定(+i)、解锁文件(-i)，使用Isattr查看文件 锁定情况

[root@localhost ~]# chattr +i letc/passwd letc/shadow
//+i,锁定文件

[root@localhost ~]# Isattr letc/passwd /etc/shadow
//查看文件锁定情况
–i---- /etc/passwd
–i----- /etc/shadow
//文件锁定，无法添加、删除用户，也不能更改用户的密码

[root@localhost ~]# chattr -i letc/passwd letc/shadow
//解锁文件

[root@localhost ~]# useradd zhangsan
//解锁之后可以正常创建用户

锁定账号文件 a锁

chattr +a 文件, a选项为append (追加) only ,即给日志文件加上a权限后,将只可以追加,不可以删除和修改之前的内容

[root@localhost ~]# touch a.txt
[root@localhost ~]# chattr +a a.txt 给文件加锁
[root@localhost ~]# lsattr a.txt 查看文件
-----a---------- a.txt

[root@localhost ~]# rm -rf a.txt
rm: 无法删除"a.txt": 不允许的操作

root用户在v编辑器的命令模式按dd删除了两行内容后进行wq !强制保存退出,也会报错

补充: chattr +a -R递归式增加a权限

• 点赞
• 收藏
• 分享
• 文章举报