今天分享一下Linux账号管理的号管悔一些注意点。新手比较容易忽略。该注个安 
1. 禁止root远程登录Linux默认是全点允许root账户通过SSH远程登录的,这相当于把系统的出事才后最高权限账号暴露在公网,黑客只需要猜中密码就能搞事情。号管悔 正确做法就是该注个安将root管理员进行禁止登录。编辑 SSH 配置文件: 复制vim /etc/ssh/sshd_config1. 找到这行并改成: 复制PermitRootLogin no1. 然后重启 SSH 服务: 复制systemctl restart sshd1. 建议创建一个普通用户 + sudo 权限,全点安全性高很多。出事才后但是号管悔有些公司为了方便,亿华云一般都是该注个安不设置这个,看公司要求。全点 2. 删除或锁定不再使用的出事才后账户一个被遗忘的账号,也许已经被人“借走”了权限。号管悔 检查长期未使用账户: 复制lastlog1. 
或者查看所有账号: 复制cut -d: -f1 /etc/passwd1. 对不需要的该注个安账号执行以下操作: 锁定账号: 复制usermod -L 用户名1. 删除账号: 复制userdel -r 用户名1. 比如lp,mail等用户可以进行禁用。全点 3. 限制sudo权限杜绝“人人都是管理员”。很多人为了方便,直接把所有用户加到sudoers里,香港云服务器出了问题找不到责任人,还可能被人“提权”操作。 正确姿势: 仅为可信用户配置 sudo。编辑 sudo 配置用: 复制visudo1. 使用最小权限原则,比如只允许执行特定命令: 复制username ALL=(ALL) NOPASSWD:/usr/bin/systemctl status mysqld1. 4. 设置密码复杂度和过期时间别让弱密码成为漏洞。很多攻击都是从“123456”、“password”这种弱密码入手的。 (1) 加强密码策略: 编辑 /etc/login.defs 或使用 chage 命令: 复制cat /etc/login.defs1. 
复制chage --maxdays 90 用户名 # 密码90天过期 chage --mindays 7 用户名 # 最短7天内不能修改密码1.2. (2) 使用 pam 模块增强密码复杂度: 复制vim /etc/pam.d/system-auth1. 添加或修改如下内容: 复制password requisite pam_pwquality.so retry=3 minlen=10 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-11. 5. 启用登录审计Linux本身提供了强大的日志系统,通过配置日志和审计策略,你可以溯源一切操作记录。 开启审计功能(auditd): 复制yum install auditd && systemctl enable --now auditd1. 监控敏感操作,企商汇例如 /etc/passwd: 复制auditctl -w /etc/passwd -p wa -k passwd_change ausearch -k passwd_change1.2. | 
喜欢
讨厌