CentOS 7系統安全之賬號安全詳解

一、系統賬號清理

在 Linux 系統中，除了超級使用者 root 之外，還有其他大量賬號只是用來維護系統運作、啟動或保持服務進程，一般是不允許登入的，因此也稱為非登入使用者賬號。為了確保系統的安全，這些使用者賬號的登入 Shell 通常被設為/sbin/nologin，表示禁止終端登入。

對於 Linux 伺服器中長期不用的使用者賬號，若無法確定是否應該刪除，可以暫時將其鎖定（具體操作可參照賬戶管理篇 https://www.linuxidc.com/Linux/2019-08/160389.htm）。

如果伺服器中的使用者賬號已經固定，不再進行更改，還可以採取鎖定賬號組態檔的方法。如圖我們執行“chattr +i /etc/passwd /etc/shadow”命令鎖定賬號檔案，在執行“lsattr /etc/passwd /etc/shadow”命令可以看到找檔案已鎖定，無法新增其他使用者。

如果鎖定了賬號檔案後需要新增新的使用者，可以執行“chattr -i /etc/passwd /etc/shadow”命令解鎖賬號檔案即可新增去建立新的使用者了。

二、密碼安全控制

1、在不安全的網路環境中，為了降低密碼被猜出或被暴力破解的風險，使用者應養成定期更改密碼的習慣，避免長期使用同一個密碼。管理員可以在伺服器端限制使用者密碼的最大有效天數，對於密碼已過期的使用者，登入時將被要求重新設定密碼，否則將拒絕登入。
如圖我們執行“vim /etc/login.defs”命令進入組態檔將密碼有效期設為30天。

下面我們建立使用者新使用者然後執行“vim /etc/shadow”命令檢視一下新使用者的密碼有效期。

2、然而針對已有的使用者我們可以執行“chage -M 30 wangwu”命令來修改已有賬號的密碼有效期。

3、在某些特殊情況下，如要求批次建立的使用者初次登入時必須自設密碼，根據安全規劃統一要求所有使用者更新密碼等，可以由管理員執行強制策略，以便使用者在下次登入時必須更改密碼。如圖我們執行“chage -d 0 wangwu”命令要求該使用者下一次登入時重設密碼。

三、命令歷史限制

Shell 環境的命令歷史機制為使用者提供了極大的便利，但另一方面也給使用者帶來了潛在的風險。只要獲得使用者的命令歷史檔案，該使用者的命令操作過程將會一覽無餘，如果曾經在命令列輸入明文的密碼，則無意之中伺服器的安全壁壘又多了一個缺口。
如圖我們執行“vim /etc/profile”命令進入組態檔修改HISTSIZE 變數值，即可修改歷史命令記錄，再執行“source /etc/profile”命令生效環境變數即可。

下面我們來執行“history”命令檢視一下歷史命令記錄。

四、終端自動登出

Bash 終端環境中，還可以設定一個閒置超時時間，當超過指定的時間沒有任何輸入時即自動登出終端，這樣可以有效避免當管理員不在時其他人員對伺服器的誤操作風險。閒置超時由變數 TMOUT 來控制，預設單位為秒（s）。 

如圖我們執行“vim /etc/profile”命令進入組態檔修改閒置超時由變數 TMOUT，再執行“source /etc/profile”命令生效環境變數即可。