一、信息安全分类

设备安全：对物理设备进行安全防护，电压，工作环境，丢失，设备物理损坏

系统安全：操作系统，访问权限，用户权限，账户密码，漏洞补丁等

通讯安全：网络通讯，广播风暴，网络流量攻击，地址伪装，信息窃取等

数据安全：数据窃取，复制，删除，破解等

服务安全：各种服务的漏洞，应用程序的BUG 等

二、账号安全基本措施

1、禁用已离职用户或长时间不使用的账户

1）编辑/etc/passwd 文件，修改 libin 用户的登录 shell 为/sbin/nologin

2）usermod -s /sbin/nologin libing

2、使用命令 usermod 锁定用户

注意：存在的用户才能用此命令

usermod -L xiaowangba

使用usermod -L 用户名锁定账户，锁定账户的特点是，只有在使用密码进行验证时，此用户才不能登录或通过验证，但是如果用户的操作中不使用密码验证，则此用户还是可以正常使用的。如：使用 su 命令切换到被锁定的用户，我们还能使用此用户进行操作

2、删除没有用的系统用户或服务用户

1）userdel xiaowangba

2）vim /etc/passwd

删除你想要删除的用户那行

3、锁定账户文件和密码管理文件

[root@localhost ~]# chattr +i /etc/passwd

[root@localhost ~]# lsattr /etc/passwd

----i----------- /etc/passwd

[root@localhost ~]# useradd zhangsan

useradd：无法打开 /etc/passwd

[root@localhost ~]# chattr -i /etc/passwd

[root@localhost ~]# lsattr /etc/passwd

---------------- /etc/passwd

[root@localhost ~]# useradd zhangsan

[root@localhost ~]# passwd zhangsan

更改用户zhangsan 的密码 。

新的密码：

无效的密码：密码少于8 个字符

重新输入新的密码：

passwd：所有的身份验证令牌已经成功更新。

显示文件的属性：

lsattr 文件名

修改文件的属性：

chattr +i 文件名

属性参数：

A 不更新Atime（最后一次访问目录或文件数据的时间）

S 同步更新（一旦应用程序对这个文件执行了写操作，使系统立刻把修改的结果写到磁盘）

a 只能添加（系统只允许在这个文件之后追加数据，不允许任何进程覆盖或截断这个文件。如果目录具有这个属性，系统将只允许在这个目录下建立和修改文件，而不允许删除任何文件）

c 压缩

i 不可变,不可修改

d 不可转移（当dump程序执行时，该文件或目录不会被dump备份。dump：转储）

s 删除保护（彻底删除文件，不可恢复，因为是从磁盘上删除，然后用0填充文件所在区域）

u 不可删除

三、用户密码安全设置

1、修改密码有效期

1）vim /etc/shadow

将99999进行修改即可

2)vim /etc/login.defs

修改PASS_MAX_DAYS将99999进行修改即可

2、减少用户历史命令的条数

vim /etc/profile

修改：

HISTSIZE=3

 . /etc/profile

3、指定用户设置历史命令的条数

vim /home/zhangsan/.bash_profile

添加：

     HISTSIZE=3

验证：

[root@localhost ~]# su - zhangsan

Attempting to create directory /home/zhangsan/perl5

[zhangsan@localhost ~]$ touch 1

[zhangsan@localhost ~]$ touch 2

[zhangsan@localhost ~]$ touch 3

[zhangsan@localhost ~]$ touch 4

[zhangsan@localhost ~]$ touch 5

[zhangsan@localhost ~]$ history

    4  touch 4

    5  touch 5

    6  history

4、设置用户注销时，自动清除命令历史记录

[root@localhost ~]# su - zhangsan

[zhangsan@localhost ~]$ vim .bash_logout

添加：

history -c

[zhangsan@localhost ~]$ exit

登出

[root@localhost ~]# su - zhangsan

上一次登录：三12月 16 15:39:58 CST 2020pts/0 上

[zhangsan@localhost ~]$ history

    1  history

5、设置自动注销用户

root@localhost ~]# vim /home/zhangsan/.bash_profile

添加：

export TMOUT=5

验证：

用图形化验证，只是伪终端消失，桌面不会锁定，因为桌面是另一个套件

四、su 命令,切换用户

su   用户名 //切换用户，但不加载用户的 shell 环境

su  -   用户名 //切换用户，加载用户 shell 环境

五、给普通用户授权，可以以root身份调用指定的命令

visudo 进入编辑模式

选项格式：

用户名 主机=授权使用命令

dawangba localhost=/sbin/fdisk,/sbin/useradd

验证:

[root@localhost ~]# su - dawangba

上一次登录：三12月 16 15:59:12 CST 2020pts/0 上

[dawangba@localhost ~]$ sudo fdisk -l

[sudo] password for dawangba: 123