将用户设置为无法登录
示例:
锁定用户—passwd
- passwd -l 锁定用户
- passwd -u 解锁用户 示例:
删除账户—userdel
userdel -r 用户名
chattr命令
chatter命令对文件操作
+i 锁定文件 root也写不了
-i 解锁文件
+a 加上可追加内容的权限
不能编辑的情况可以用echo进行追加
lsattr 查看底层的文件权限 ll查不了
i 仅可读
切换用户——su
su 用户名
给普通用户提权
useradd 用户名 -G wheel
PAM安全认证二进制语言
PAM:Pluggable Authentication Modules,插件式的验证模块,Sun公司于1995 年开发的一种与认证相关的通用框架机制。PAM 只关注如何为服务验证用户的 API,通过提供一些动态链接库和一套统一的API,将系统提供的服务和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序一种认证框架,自身不做认证。包名: pam
模块文件目录:/lib64/security/*.so
特定模块相关的设置文件:/etc/security/
应用程序调用PAM模块的配置文件
主配置文件:/etc/pam.conf,默认不存在,一般不使用主配置
为每种应用模块提供一个专用的配置文件:/etc/pam.d/APP_NAME
注意:如/etc/pam.d存在,/etc/pam.conf将失效
PAM工作原理
PAM认证一般遵循这样的顺序:Service(服务)→PAM(配置文件)→pam_*.so
PAM认证首先要确定那一项服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib64/security下)进行安全认证
chage命令
选项说明
-l 用户名:当前系统中用户的密码有效期
-h:chage命令的帮助信息
-d 日期 用户名:将最近一次密码设置时间设为最近日期
-d 0 用户名:设置用户下次登录必须更改密码
-E 日期 用户名:指定账号过期的时间
-M 天数 用户:多少天之后必须更改密码
-m:将两次改变密码之间相距的最小天数设为“最小天数”
-I:过期INACTIVE天数后,设定密码为失效状态
-R:chroot到的目录
-W:将过期警告天数设为“警告天数”
命令历史history
history -c 清除历史命令
系统引导和安全控制
1.开关机安全控制
调整BIOS引导设置
将第一引导设备设为当前系统所在硬盘
禁止从其他设备(光盘、U盘、网络)引导系统·
将安全级别设为setup,并设置管理员密码
GRUB限制
使用grub2-mkpasswd-pbkdf2生成密钥
修改/etc/grub.d/00_header文件中,添加密码记录
生成新的grub.cfg配置文件
GRUB限制
使用grub2-mkpasswd-pbkdf2生成密钥
修改/etc/grub.d/00_header文件中,添加密码记录
生成新的grub.cfg配置文件