用户是使用计算机的者的身份标识。基本常作的就是

1:删除不使用的用户    passwd -l 用户名   禁用账户  可以在shadow密码字段前加!

2:程序用户shell弄成 /sbin/nologin    usermode -s 更改

3:限制用户密码有效天数 :vi  /etc/login.defs    中   PASS_MAX_DAYS        20  设置

                                                  chage  -M 20 chunchun    //对已有的用户,上面是对新建

4:下次登录是修改密码:chage -d 0 chunchun    或  shadow文件第三段改为0

5:限制用户密码最小长度 vi  /etc/pam.d/system-auth

passsword   requisite    pam_cracklib.so  try_first_pass retry=4 minlen=12 //超过4后从新输入用户名  而不是禁用

6:命令历史条数  vi   /etc/profile     HISTSIZE=200

                                  history  -c    清空命令历史条数

7:超时 注销终端    vi  /etc/profile           export TMOUT=500   默认单位秒

su  命令   :    直接加用户 是使用当前的终端   su -  chunchun   从新打开终端

               把需要授权的用户家入到wheel组中 可以统一用pam_wheel模块管理,

                

  1. gpasswd -a chunchun wheel    //加多个直接-M  
  2. vi //etc/pam.d/su  
  3. auth required pam_wheel.so use_uid  //去掉注释  
  4. 验证   这样的话只有chunchun用户可以切换 

su 前提是必须知道对方的密码

sudo:配置文件/etc/sudoers 默认权限400    格式:user    MACHINE=COMMANDS

           user授权用户  %组名 授权一个组

           MACHINE 主机 一般使用localhost 看具体情况

            commands  命令 写绝对路径 which查看  多个用,号隔开

 可以定义别名: User_Alias      TEST=zhangsan,  lisi,   wangwu

                               Host_Alias      JIQI=smtp,  pop

                               Cmnd_Alias     MINGLIN=/bin/rpm,  /usr/bin/yum

              (第一是关键字    第二是自定义别名必须是大写字母    第三是命令)

 例:wheel组中的用户不需要验证即可执行所有命令

%wheel      ALL=(ALL)        NOPASSWD:   ALL         //* 任意单个    !取反

可以为sudo增加日志

 

  1. visudo  
  2. Defaults logfile = "/var/log/sudo" 
  3. vi /etc/syslog.conf  
  4. local2.debug     /var/log/sudo  
  5. service syslog restart 

这样执行sudo的命令后就会记录到日志中

使用sudo执行命令   在命令前面直接加sudo

sudo  -l   列出当前用户可以执行的命令   第一次执行sudo是要密码的  完后开始记时5   分钟  在使用的话还得输入密码

sudo  -k   清楚上面那个时间   再次使用时需要密码

sudo  -v    重新更改时间戳