linux系统账号安全应该如何设置

1. 信息安全的分类

（1）硬件安全：物理设备的使用安全，结构部署，用电安全，工作环境，防盗，物理破坏等
（2）系统安全：操作系统自身的安全性，如漏洞，入侵，弱口令，夺权，篡改令牌等
（3）服务安全：服务或应用程序本身自带的安全隐患或漏，如dhcp
（4）数据安全：数据的丢失，破坏，篡改，备份，还原等
（5）通讯安全：网络设备，线路的通信，洪水攻击（广播风暴）

2. 账号安全

账号安全是系统安全中的一个分支，是比较容易体现出安全现象现象和优化效果
（1）将非登录用户的shell设置为nologin，nologin是拒绝登录脚本，但是该用户可以通过后台程序进行访问文件，读写文件，管理进程等工作

cat /etc/passwd/ | grep bash

（2）锁定长期不使用的账号，如长期出差的员工，已离职或转岗位的员工，临时员工等（防止被远程登录进行破坏）

usermod -L 用户名 锁定用户，将用户的密码锁定后，任何密码验证的过程都会失败，如果没有密码验证的过程，则该用户能够正常使用。如：root切换用户没有密码验证过程
usermod -U 用户名 解锁用户
passwd -S zhang2 查看指定账号的密码状态

（3）删除无用的账号，对可疑账号，已离职员工账户都可以删除。

userdel -r 用户名

（4）锁定重要文件或passwd，shadow文件，一旦被锁定，任何用户不能修改包括root
lsattr 文件名 查看文件属性
chattr +i 文件名 锁定文件
例：chattr +i /etc/passwd /etc/shadow

3.密码安全控制

强制要求用户定期修改密码，设置密码过期时间。
已有用户修改密码过期时间：

vim    /etc/shadow 文件

新创建的用户设置默认密码过期时间：

vim   /etc/login.defs		#用户默认选项

修改：

PASS_MAX_DAYS   20

4.设置历史命令的数量

vim /etc/profile #环境选项配置文件
修改：
HISTSIZE=10

调用配置文件或脚本：
source /etc/profile #在当前shell环境中生效

5.清除历史命令

history  -c

6.su命令

切换用户，-表示切换用户后，登录该用户的shell环境

root@~># su    zhang3		#切换zhang3后，使用root的shell环境。
su  -  zhang3  

7.sudo

普通用户使用root权限执行命令，一般用于执行sbin中的系统维护类命令。但是必须通过root用户的授权才能使用。
visudo进行授权：

zhang3   localhost=/sbin/fdisk,/sbin/mkfs,/sbin/useradd,/sbin/passwd

用户名 登录主机=授权命令
登录主机：可以是本地localhost，也可以是远程主机名，也可以是ALL
授权命令：支持正则表达式的符号*或！，*表示所有，！表示除指定文件以外

li4  localhost=/usr/sbin/*,!/usr/sbin/ifconfig