linux帐户安全管理与技巧

实验步骤一：建立与删除普通用户账户，管理组

1）创建一个新用户user1 ： useradd user1

 

2）groupadd group1 创建一个组

3）创建一个新用户user2并将其加入用户组group1中

 

    useradd -G group1 user2

 

4）创建一个新用户user3 ：useradd -d /www -M user3 指定登录目录为/www

 

5）将用户user2添加到附加组group1中

 

    usermod -G group1 user1

执行以上操作：

结果为：

 

 6）删除user3  userdel user3 

7）删除用户user2，同时删除自家目录

    userdel -r user2

 

8）删除组group1，则组group1中的用户则被分配到其自己分配的私有组中。

 

 

 

 

实验步骤二：用户口令管理与口令时效管理

 

1）passwd命令  

 

   passwd -l //禁用用户帐户口令

 

    passwd -S //查看用户帐户口令状态

 

    passwd -u //恢复用户帐户口令

 

    passwd -d //删除用户帐户口令

 

在创建完用户user1后，没给用户passwd口令时，账户默认为禁用状态：

 

2）给user创建口令

 

 

密码已经设置，且为SHA512加密

 3）禁用user1  passwd -l user1

4） 恢复账户user1的账户口令： passwd -u user1

5）删除用户账户口令 ： passwd -d user1

 

6） change命令 

    -m days： 指定用户必须改变口令所间隔的最少天数。如果值为0，口令就不会过期。

    -M days： 指定口令有效的最多天数。当该选项指定的天数加上-d选项指定的天数小于当前的日期时，用户在使用该帐号前就必须改变口令。

    -d days： 指定从1970年1月1日起，口令被改变的天数。

    -I days： 指定口令过期后，帐号被锁前不活跃的天数。如果值为0，帐号在口令过期后就不会被锁。

    -E date： 指定帐号被锁的日期。日期格式YYYY-MM-DD。若不用日期，也可以使用自1970年1月1日后经过的天数。

    -W days： 指定口令过期前要警告用户的天数。

    -l： 列出指定用户当前的口令时效信息，以确定帐号何时过期。

 

 

实验步骤三：PAM可插拔验证模块

1） 指定密码复杂性

 vi /etc/pam.d/system-auth

 

 

分析与思考：

1）思考还有哪些加强linux账户安全的管理方法？
2）比较一下linux账户跟unix账户管理的异同。

 

1： 1）密切关注密钥环

2）强制更新用户密码

3）不要盲目禁用安全增强Linux子系统

 4）不要以root身份登录

 5）及时进行安全更新

2：

Linux：

1、开源

2、系统：Redhat、fedora、mandriva/novellsuse/debian/slackware/gentoo/ubantu/cenos

Unix：

1、商业

2、系统：IBM AIX、HP UNIX、SUN solias;Unix有硬件要求

3、适用：大型要求：如电信、移动

 

问答答案：A  AD