摘要:Linux是一個基于UNIX系統的多使用者、多任務、支援多線程和多CPU的作業系統。在Linux系統中,多使用者是指在同一時刻可以有多個使用者同時使用作業系統而且互不幹擾,而多任務則指的是任何一個使用者在同一時間可以在作業系統上運作多個程式。
Linux伺服器以其安全、高效和穩定的顯著優勢而得以廣泛應用,不過,如果不做好使用者賬号的管理,系統的安全性得不到更好的保障。是以,為提高系統的穩定性,加強賬号安全管理必不可少。
本文将使用CentOS7作業系統,詳細介紹賬号管理的風險點及其防範措施。詳細内容請參考下文。
一、通路Linux
1、登入Linux
2、檢視linux版本
二、使用者賬号管理
1、禁用或删除無用帳号
說明:當Linux系統安裝完畢後,系統預設自帶了一些虛拟賬戶,比如bin、adm、lp、postfix等,這些賬号理論上是可以删除的。但是因為它們的登入shell都是/sbin/nologin,是以本身也是無法登入的,不删也可以。不過要注意的是系統安裝完成後,手動建立的一些賬戶,比如這些登入shell是/bin/bash,就一定要管理好。
(1)、檢視所有賬号
執行指令# cat /etc/passwd檢視系統所有的帳号
備注:passwd檔案對應各個字段描述如下:
使用者名:密碼: uid: gid:使用者描述:主目錄:登陸shell
解決辦法:
第一步:注釋系統自帶的賬号,需要注釋掉的使用者主要包括:adm、lp、sync、shutdown、halt、operator、games、ftp、postfix、mail、dovecot等
注意:不建議直接删除,當你需要某個使用者時,自己重新添加會很麻煩。
首先,執行指令# cp /etc/passwd /etc/passwdbak備份帳号檔案
然後執行指令# vim /etc/passwd注釋無用帳号
第二步:注釋使用者組,注釋的使用者組包括:adm,lp,mail,games,ftp,audio等
首先執行指令# cp /etc/group /etc/groupbak備份使用者組
然後執行指令# vim /etc/group注釋掉無用使用者組
(2)、禁用賬戶
執行指令# passwd -l禁用賬戶
說明:使用passwd -l禁用賬戶user,禁用後,root使用者仍然可以su,但是其他使用者無法su到user,也無法通過xshell去ssh到user了。
(3)、解鎖賬戶
執行指令# passwd -u解鎖帳戶
說明:使用passwd -u解鎖user後,賬戶user可以正常登陸。
2、檢查特殊賬号
說明:檢查是否存在空密碼和root權限的賬号。
(1)、檢測空密碼賬戶
執行指令# awk -F: '$2=="!!" {print $1}' /etc/shadow檢視空密碼帳号
然後執行指令# grep -v "/sbin/nologin" /etc/passwd檢視哪些使用者可以登入系統
備注:對比上述操作,發現admandabackup帳号是空密碼并且可以登入系統,需要将其暫時注釋禁用。
(2)、檢測root權限賬号
說明:使用指令 awk -F: '($3==0)' /etc/passwd 檢視UID為零的賬号,確定uid為0的賬号隻能是root賬号。
執行指令# awk -F: '($3==0)' /etc/passwd檢視root權限帳号