快速业务通道

Linux系统安全——用户账户技巧

作者 佚名技术 来源 Linux系统 浏览 发布时间 2012-04-19

最近公司事情繁多,很久没有更新博客了,不知道各位技术网友最近可好.其实虽然说公司工作很忙,但是忙里偷闲一直在思考一个问题,那就是如何围绕用户账户来尽可能保证Linux系统的安全.

思考许久,用虚拟机试了一把.一方面温习一下往日的基本命令,另一方面总结了一些比较实用的用户账户安全技巧,在这里和大家分享一下.虽然很简单,但是在工作中却非常实用,可称得上简单而不简约.

技巧一

建立不允许登录系统的服务账号.

其实Linux老鸟也许对这个再熟悉不过了,尤其是搭建和维护mail服务器以及其他用户应用型服务的Linux老鸟.

那我搭建服务器操作为例,前一段时间我用Linux搭建了mail服务器,系统账号即邮件账号.也就是说你要给你的同事开一个zhangsan@linux.com的邮件账号,你只要在你搭建的邮件服务器上建立zhangsan这个用户即可.但是问题来了,张三这个人既可以使用系统提供的邮件服务同时又能登录这台服务器,这样增加了系统安全风险.那么如何才能邮件用户既可以正常使用邮件账户但又不可以登录系统呢?下面我们就来探讨一下!

第一种情况:张三这个账号还没有建立,对于这种情况是一件非常好办的事情,我们只要再给张三建立邮件账号的时候加一个参数-s /sbin/nologin就可以解决.

例如:# useradd -s /sbin/nologin zhangsan

使用上例建立的张三用户只能使用邮件服务,如果他想用此账户登录系统那是不可能了.

第二种情况:张三这个账号已经建立,且已经使用.对于这种情况可能稍微麻烦一点,但是也不是很难.

我们修改账号属性,编辑/etc/passwd文件,找到zhangsan 用户名开头的那一行,修改shell参数为/sbin/nologin.

Empire CMS,phome.net

# vi /etc/passwd

Zhangsan:x:501:501::/home/zhangsan:/sbin/nologin

下划线标注的部分即为该用户更改后的shell参数.

其次更改完nologin参数后使用pwconv命令进行密码同步,然后用passwd命令设置张三的密码.

#pwconv

#passwd popuser

通过以上两种情况我们就避免了服务使用对系统存在的潜在威胁.

技巧二

查看系统登录用户信息

多用户多进程的Linux系统有可能同时或者分时的被用户使用,那么我们如何查看哪些用户在使用系统,又有哪些用户登录过系统呢?我们使用who命令和last命令就可以查看这些用户.

1、‘who’命令,查看当前系统中登录的用户.

# who

2、‘last’命令,查看最近系统使用者登录的时间.

# last

技巧三

删除不必要的系统默认账号

默认安装完Linux系统会产生许多默认账号和组.这些账号和组是默认且公开的,存在很大的安全隐患.如果确实不需要这些账号和组,我们可以把他们删除掉.

我们使用‘userdel’命令进行用户删除

例如:

# userdel adm

# userdel lp

# userdel sync

# userdel shutdown

# userdel halt

# userdel news

# userdel uucp

# userdel poerator

# userdel games ( 如果没安装X-window服务器,可以删除这个用户)

# userdel gopher

# userdel ftp (如果没有安装匿名ftp服务器,可以删除这个用户)

我们使用‘groupdel’命令进行组删除

例如:

#groupdel adm

#groupdel lp

#groupdel news

#groupdel uucp

#groupdel games ( 如果没安装X-window服务器,可以删除这个组)

Empire CMS,phome.net

#groupdel dip

#groupdel pppusers

#groupdel popusers (如果没有安装匿名ftp服务器,可以删除这个组)

#groupdel slipusers

技巧四

设置账号相关配置文件的不可改变位

长期使用linux的朋友可能多不可改变位相对比较熟悉,但是对于刚刚接触linux的朋友也许有点儿陌生.不可改变位可以用来保护文件,使其不被意外地删除重写,也可以防止有些人创建这个文件的符号连接.

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!

分享到: 更多

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD):厦门软件园二期望海路63号701E(东南融通旁) 邮编(ZIP):361008

电话:0592-5908028 传真:0592-5908039 咨询信箱:web@lingzhong.cn 咨询OICQ:173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号