今天分享一下Linux賬號(hào)管理的一些注意點(diǎn)。新手比較容易忽略。

1. 禁止root遠(yuǎn)程登錄

Linux默認(rèn)是允許root賬戶通過SSH遠(yuǎn)程登錄的，這相當(dāng)于把系統(tǒng)的最高權(quán)限賬號(hào)暴露在公網(wǎng)，黑客只需要猜中密碼就能搞事情。

正確做法就是將root管理員進(jìn)行禁止登錄。編輯 SSH 配置文件：

vim /etc/ssh/sshd_config

找到這行并改成：

PermitRootLogin no

然后重啟 SSH 服務(wù)：

systemctl restart sshd

建議創(chuàng)建一個(gè)普通用戶 + sudo 權(quán)限，安全性高很多。但是有些公司為了方便，一般都是不設(shè)置這個(gè)，看公司要求。

2. 刪除或鎖定不再使用的賬戶

一個(gè)被遺忘的賬號(hào)，也許已經(jīng)被人“借走”了權(quán)限。

檢查長期未使用賬戶：

lastlog

或者查看所有賬號(hào)：

cut -d: -f1 /etc/passwd

對(duì)不需要的賬號(hào)執(zhí)行以下操作：

• 鎖定賬號(hào)：

usermod -L 用戶名

• 刪除賬號(hào)：

userdel -r 用戶名

比如lp，mail等用戶可以進(jìn)行禁用。

3. 限制sudo權(quán)限

杜絕“人人都是管理員”。很多人為了方便，直接把所有用戶加到sudoers里，出了問題找不到責(zé)任人，還可能被人“提權(quán)”操作。

正確姿勢：

• 僅為可信用戶配置 sudo。
• 編輯 sudo 配置用：

visudo

• 使用最小權(quán)限原則，比如只允許執(zhí)行特定命令：

username ALL=(ALL) NOPASSWD:/usr/bin/systemctl status mysqld

4. 設(shè)置密碼復(fù)雜度和過期時(shí)間

別讓弱密碼成為漏洞。很多攻擊都是從“123456”、“password”這種弱密碼入手的。

(1) 加強(qiáng)密碼策略：

編輯 /etc/login.defs 或使用 chage 命令：

cat /etc/login.defs

chage --maxdays 90 用戶名   # 密碼90天過期
chage --mindays 7 用戶名    # 最短7天內(nèi)不能修改密碼

(2) 使用 pam 模塊增強(qiáng)密碼復(fù)雜度：

vim /etc/pam.d/system-auth

添加或修改如下內(nèi)容：

password requisite pam_pwquality.so retry=3 minlen=10 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1

5. 啟用登錄審計(jì)

Linux本身提供了強(qiáng)大的日志系統(tǒng)，通過配置日志和審計(jì)策略，你可以溯源一切操作記錄。

開啟審計(jì)功能（auditd）：

yum install auditd  && systemctl enable --now auditd

監(jiān)控敏感操作，例如 /etc/passwd：

auditctl -w /etc/passwd -p wa -k passwd_change
ausearch -k passwd_change