一個企業內用戶的賬號密碼安全一直是大家非常關注的問題,一旦賬號密碼洩露,將會導致很嚴重的後果。因此我們應該注重賬號的權限設置是否合理,密碼強度是否滿足要求,離職禁用的賬號是否及時清理等等,保證系統用戶賬號密碼的安全。
1、刪除或者禁用不必要的用戶
Linux內的用戶賬號都放到/etc/passwd下面,我們應該定期查看和清理裡面不在使用的賬戶,避免這一類的賬號被黑客利用,可以採用如下辦法:
鎖定賬號 passwd -l 用戶名
檢查是否還能登錄,可以看到,即使輸入正確的密碼,也無法登錄:
更改用戶的shell
我們還可以修改/etc/passwd內用戶的shell程序來禁止用戶登錄:
像上述出現的shell是/sbin/nologin的,都是無法登陸系統的。
檢查密碼為空的用戶,Linux的密碼是通過加密之後,存儲在/etc/shadow文件內,
cat /etc/shadow |awk -F: 'length($2)<1 {print $1}'
設置密碼策略
使用chage命令來查看和修改用戶的密碼策略,常用參數
-d 將最近的一個密碼更改日期設置為LAST_DAY
-E 設置密碼過期日期
-I 設置密碼過期之後,多少天禁止用戶登錄
-l 查看當前用戶的密碼策略
-m 設置兩次密碼更改的最小天數
-M 設置兩次密碼更改的最大天數
-W 密碼過期前多少天發過“密碼將過期”的警告提示
查看用戶的密碼策略:
可以看到,密碼是相當的不安全,我們強化一下,強化如下,90天后密碼過期,過期後兩天之內,賬號將禁止登錄,密碼過期前7天會發送提醒:
自動禁用賬號
有些用戶離職或者長期不登錄賬號的情況,是一個潛在的安全漏洞,非常容易被入侵。因此我們可以設置一個靜止閾值,當用戶多少天沒有登錄過系統,就被自動禁用掉:
usermod -f 20 ben
用戶ben如果20天沒有登錄系統,就會被自動禁用掉。如果要取消這一個功能,把時間設置為-1即可:
保證只有一個賬號具有root權限
Linux是根據UID來區分用戶的,UID為0的用戶就是root用戶。因此如果我們將有個用戶的UID設置為0,則該用戶具有了root用戶的所有權限,非常危險.
發現這樣的用戶,我們也要及時的清理掉才行。
用戶賬號和密碼安全還有很多的內容,今天只是分享一些常用的東西給大家,感謝閱讀!
閱讀更多 一不小心7332789 的文章
