一、账号安全控制

(一)系统账号清理

  • 将非登陆用户的Shell设为/sbin/nologin或者/bin/falsh
    usermod -s /sbin/nologin 用户名
  • 锁定长期不使用的账号
    
    usermod -L 用户名           锁定用户账户  
    usermod -U 用户             解锁用户账户

passwd -l 用户名 锁定用户password
passwd -u 用户名 解锁用户账户
passwd -S 用户名 查看用户状态

- 删除无用的账号

userdel -r 用户名 删除用户及其宿主目录

- 清空一个账号password

passwd -d 用户名 清空账户password

- 锁定账号文件passwd、shadow

chattr +i /etc/passwd /etc/shadow 锁定文件 (passwd和shadow可以同时锁定)
lsattr /etc/passwd /etc/shadow 查看文件状态
chattr -i /etc/passwd /etc/shadow 解锁文件

**操作:**
::: hljs-center

![1.png](https://s2.51cto.com/images/20211124/1637733049332281.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
**锁定后root用户此时也修改不了password**
::: hljs-center

![2.png](https://s2.51cto.com/images/20211124/1637733159528480.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
**解锁后:**
::: hljs-center

![3.png](https://s2.51cto.com/images/20211124/1637733178354202.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
### (二)password安全控制
#### 新用户password有效期设置
- 设置password有效期
- 要求用户下次登录时修改password
- password配置文件 /etc/login.defs

**说明:**修改password配置文件**,适用于新建用户**
介绍一下password配置文件:/etc/login.defs

###################password设置信息
PASS_MAX_DAYS 99999 #password最大有效天数
PASS_MIN_DAYS 0 #最小有效天数
PASS_MIN_LEN 5 #password最最小长度
PASS_WARN_AGE 7 #password过期警告时间
###############用户的UID范围西信息

Min/max values for automatic uid selection in useradd

#就是普通用户的UID范围
UID_MIN 1000
UID_MAX 60000

System accounts

#系统用户UID的范围
SYS_UID_MIN 201
SYS_UID_MAX 999

普通用户的UID号范围 100-60000

系统用户的UID范围 201-999

修改下次登录时间:PASS_MAX_DAYS 30

方式:可以直接修改配置文件里面原来的password有效期

也可以在最后一行

**思路:**

#先创建一个用户:lisi
#修改password配置文件/etc/login.def里面的PASS_MAX_DAYS +时间
#创建一个账户:cheng
#vim /etc/shadow 查看: 显示lisi 有效天数没变,但是qing的有效天数变成了30天

**操作:**
/etc/login.defs文件修改
::: hljs-center

![4.png](https://s2.51cto.com/images/20211124/1637733855639362.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
**步骤:**
::: hljs-center

![5.png](https://s2.51cto.com/images/20211124/1637733890833580.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
**/etc/shadow账号文件信息**
::: hljs-center

![6.png](https://s2.51cto.com/images/20211124/1637733933721763.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
**注意:这里的新建用户是指修改password配置文件/etc/login.defs修改后才建立的**
#### 老用户password有效期修改
**格式:**

chage -M 天数 用户名
例:chage -M 30 lisi

**操作:**
::: hljs-center

![7.png](https://s2.51cto.com/images/20211124/1637734929385182.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
#### 强制下次登录更改password
**格式:**

chage -d 0 用户名
例子:
chage -d 0 lisi
cat /etc/shadow | grep lisi #查看

**操作:**
::: hljs-center

![8.png](https://s2.51cto.com/images/20211124/1637734998198371.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
### (三)命令历史限制
#### 命令历史限制(/etc/profile全局系统配置文件)
**说明**:为什么命令历史限制可以更安全呢?因为历史命令里面可能会包含你之前的一些操作明命令,如果有你的账户创建的信息的话高呢容易crack,会造成风险
**减少记录的命令条数**
**格式:**

history #查看N多password
history + 数字 #查最近使用的password(几条看数字)
###########命令历史限制步骤

vi /etc/profile

最后一行加入 export HISTSIZE=200 #就是限制只能查看最近的两百条命令信息,数字自己根据情况修改,也可以在原本的默认上面是进行修改

source /etc/profile #修改之后进行刷新

注:./etc/profile #效果也是刷新

**思路**:==由于之前操作了history -c清楚了命令==,再查看是(暂时)显示不出以前的命令,重启一下就可以显示历史命令了
**操作:**
init 6重新查看历史命令
::: hljs-center

![9.png](https://s2.51cto.com/images/20211124/1637735789717038.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
**然后查看及修改全局配置文件/etc/profile**
原:
::: hljs-center

![10.png](https://s2.51cto.com/images/20211124/1637736045537948.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
现:
::: hljs-center

![11.png](https://s2.51cto.com/images/20211124/1637736067998543.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
刷新:
::: hljs-center

![12.png](https://s2.51cto.com/images/20211124/1637736140542043.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
查看:
::: hljs-center

![13.png](https://s2.51cto.com/images/20211124/1637736191541105.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
全局配置文件/etc/bashrc,对所有用户有效

自己家目录中的 :vim .bashrc

vim /etc/local.rc

**登录时自动清空命令历史(history -c )**
说明:虽然清空之后不显示历史命令,但其实历史操作命令都在 ~/.bash_history里面
格式:

history -c #清空历史命令

操作:
::: hljs-center

![14.png](https://s2.51cto.com/images/20211124/1637736358100177.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
注意:虽然在此处看不到历史命令,但是历史命令都在家目录下的.bash_history文件里(==包括登录前的历史命令==)
查看:
::: hljs-center

![15.png](https://s2.51cto.com/images/20211124/1637736607910343.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
.bash_history文件信息
::: hljs-center

![16.png](https://s2.51cto.com/images/20211124/1637736626679857.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
### (四)终端自动注销
**闲置 [ n ] 秒后自动注销。(n为数字)**
格式:

vim /etc/profile #编辑/etc/profile文件
export TMOUT=60 #设置全局自动注销时间

实例操作:
::: hljs-center

![17.png](https://s2.51cto.com/images/20211124/1637736841590609.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
### (五)使用su命令切换用户
####  用途和格式
- 用途:Substitute User,切换用户
- 格式:su - 目标用户(横杠“ - ”代表切换到目标用户的家目录)
#### password验证
- root - - - >任意用户,不验证password
- 普通用户- - - >其他用户,验证目标用户的password
- 带 “ - ” 表示将使用目标用户的登录Shell环境
#### 格式详情

切换用户
su - zhangsan #root切换普通用户
su - root #普通用户切换其他用户
查看当前登录的用户
whoami #显示当前登录的用户

操作:
::: hljs-center

![18.png](https://s2.51cto.com/images/20211124/1637737000637833.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
### (六)限制使用su命令的用户
- 将允许使用su命令的用户加入wheel组中;
- 启用pam_wheel 认证模块

**操作步骤格式:**

gpasswd -a zhangsan wheel #将希望可以使用su命令的用户加入到wheel组中
vim /etc/pam.d/su #编辑/etc/pam.d/su配置文件
auth required pam_wheel.so use_uid #将此行的注释取消即可,表示在wheel组的成员可以使用su命令,其他成员则不能使用su命令

操作:
!::: hljs-center

[19.png](https://s2.51cto.com/images/20211124/1637737508823085.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
::: hljs-center

![20.png](https://s2.51cto.com/images/20211124/1637737517167911.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
### (七)Linux中的PAM安全认证
#### su命令的安全隐患
默认情况下,任何用户都允许使用su命令,有机会反复尝试其他用户(如root) 的登录password,带来安全风险;
为了加强su命令的使用控制,可借助于PAM认证模块,只允许极个别用户使用su命令进行切换。
#### PAM(Pluggable Authentication Modules)可插拔式认证模块
- 是一种高效而且灵活便利的用户级别的认证方式;
- 也是当前Linux服务器普遍使用的认证方式。

#### PAM认证原理:
- PAM认证一般遵循的顺序: ==Service (服务) --> PAM (配置文件) --> pam_*.so;==。
- PAM认证首先要确定哪一项应用服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证模块(位于/lib64/security/下)进行安全认证。
- 用户访问服务器的时候,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证。不同的应用程序所对应的PAM模块也是不同的。
- 如果想查看某个程序是否支持PAM认证,可以用ls命令进行查看/etc/pam.d/
- PAM的配置文件中的每一行都是一个独立的认证过程,它们按从上往下的顺序依次由PAM模块调用。

1.第一列代表PAM认证模块类型

- auth:对用户身份进行识别,如提示输入password,判断是否为root。
- account:对账号各项属性进行检查,如是否允许登录系统,帐号是否已经过期,是否达到最大用户数等
- password:使用用户信息来更新数据,如修改用户password
- session:定义登录前以及退出后所要进行的会话操作管理,如登录连接信息,用户数据的打开和关闭,挂载文件系统

2.第二列代表PAM控制标记

- required:表示需要返回一个成功值,如果返回失败,不会立刻将失败结果返回,而是继续进行同类型的下一验证,所有此类型的模块都执行完成后,再返回失败
- requisite:与required类似,但如果此模块返回失败,则立刻返回失败并表示此类型失败
- sufficient:如果此模块返回成功,则直接向程序返回成功,表示此类成功,如果失败,也不影响这类型的返回值
- optional:不进行成功与否的返回,一般不用于验证,只是显示信息(通常用于 session 类型)
- include:表示在验证过程中调用其他的PAM配置文件。比如很多应用通过完整调用/etc/pam.d/system-auth(主要负责用户登录系统的认证工作)来实现认证而不需要重新逐一去写配置项

|      |            |       | 用户1 | 用户2 | 用户3 | 用户4 |
| ---- | ---------- | ----- | ----- | ----- | ----- | ----- |
| auth | required   | 模块1 | pass  | fail  | pass  | pass  |
| auth | sufficient | 模块2 | pass  | pass  | fail  | pass  |
| auth | required   | 模块3 | pass  | pass  | pass  | fail  |
|      |            | 结果  | pass  | fail  | pass  | pass  |

3.第三列代表PAM模块,默认是在/lib64/security/目录下,如果不在此默认路径下,要填写绝对路径

4.第四列代表PAM模块的参数,这个需要根据所使用的模块来添加。
::: hljs-center

![21.png](https://s2.51cto.com/images/20211124/1637741434601851.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
### (八)使用sudo机制提升权限
#### sudo命令的用途及用法
- 用途 :以其他用户身份(如root执行授权的命令)
- 用法:sudo 权限命令

#### 配置sudo授权
- visudo或者vi /etc/sudoers(此文件没有写的权限,保存时必须 wq!强制执行操作)
- 记录格式:用户 主机名=命令程序列表
- 可以使用通配符“ * ”号任意值和“ !”号进行取反操作。
- 权限生效后,有5分钟的闲置时间,超过5分钟没有操作则需要再输入password。

#### 操作格式

用户 主机名=命令程序列表
用户 主机名=(用户)命令程序列表
zhangsan ALL=(root) /sbin/ifconfig sudo -l #查询授权的sudo操作


- 用户: 直接授权指定的用户名,或采用“&组名"的形式(授权一个组的所有用户)。
- 主机名:使用此规则的主机名。没配置过主机名时可用localhost,有配过主机名则用实际的主机名,ALL则代表所有主机。
- (用户):用户能够以何种身份来执行命令。此项可省略,缺省时以root用户的身份来运行命令。
- 命令程序列表:允许授权的用户通过sudo方式执行的特权命令,需填写命令程序的完整路径,多个命令之间以逗号“,"进行分隔。ALL则代表系统中的所有命令
- 执行调用格式为(用户名 网络中的主机=(执行命令的目标用户) 执行的命令范围)

#### 启用sudo操作日志
- 需启用Defaults logfile配置
- 默认日志文件:/var/log/sudo
- 操作:在/etc/sudoers末尾添加Defaults logfile="/var/log/sudo"
**操作**
wheel组的成员可以操作sudo,而非wheel组则不可以,查找原因
::: hljs-center

![22.png](https://s2.51cto.com/images/20211124/1637741835133573.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
::: hljs-center

![23.png](https://s2.51cto.com/images/20211124/1637741896378904.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
设置指定用户可以使用sudo指定的命令,并测试
**进入vim /etc/sudoers ,将wheel组权限加“#”号注释,并在末尾添加配置,最后强制保存并退出**
::: hljs-center

![24.png](https://s2.51cto.com/images/20211124/1637742008102277.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
**进行测试**
::: hljs-center

![25.png](https://s2.51cto.com/images/20211124/1637742051824569.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
**设置执行sudo命令时不需要输入password,并测试**
::: hljs-center

![26.png](https://s2.51cto.com/images/20211124/1637742102314106.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
::: hljs-center

![27.png](https://s2.51cto.com/images/20211124/1637742110697899.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
**在/car/log下创建sudo日志文件,用来存储用户使用的sudo命令记录,并测试**
::: hljs-center

![28.png](https://s2.51cto.com/images/20211124/1637742220951687.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
::: hljs-center

![29.png](https://s2.51cto.com/images/20211124/1637742229706299.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
## 二、系统引导和登录控制
### (一)开关机安全控制
#### 调整BIOS引导设置
将第一引导设备设为当前系统所在硬盘;
禁止从其他设备(光盘、 U盘、网络)引导系统;
将安全级别设为setup,并设置管理员password。
#### GRUB限制
使用grub2-mkpasswd-pbkdf2生成密钥;
修改/etc/grub.d/00_ header文件中, 添加password记录;
生成新的grub.cfg配置文件。
#### 限制更改GRUB引导参数
通常情况下在系统开机进入GRUB菜单时,按e键可以查看并修改GRUB引导参数,这对服务器是一个极大的威胁。可以为GRUB菜单设置一个password,只有提供正确的password才被允许修改引导参数。
**操作:**
::: hljs-center

![30.png](https://s2.51cto.com/images/20211124/1637742568485783.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
::: hljs-center

![31.png](https://s2.51cto.com/images/20211124/1637742578455715.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
::: hljs-center

![32.png](https://s2.51cto.com/images/20211124/1637742585632100.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
::: hljs-center

![33.png](https://s2.51cto.com/images/20211124/1637742594364190.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
::: hljs-center

![34.png](https://s2.51cto.com/images/20211124/1637742617841469.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
### (二)限制root只在安全终端登录
在Linux系统中,login 程序会读取/etc/securetty文件,以决定允许root 用户从哪些终端(安全终端)登录系统

修改此配置文件:vim /etc/ securetty
#### 终端介绍
- 安全终端配置:/etc/securetty
- tty1~ 6是文本型控制台,tty7 是X Window图形显示管理器。可以通过CtrI+Alt+F1 (F1-F7键) 切换到对应的登录控制台。

**注:按ctrl+Alt+F1回到图形化界面**
#### 实例操作
**设置不允许root用户使用tty5和tty6终端登录**
::: hljs-center

![35.png](https://s2.51cto.com/images/20211124/1637742923325890.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
**设置完成后,重启主机,进行切换终端测试是否可以登录**
::: hljs-center

![36.png](https://s2.51cto.com/images/20211124/1637742981600918.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
::: hljs-center

![37.png](https://s2.51cto.com/images/20211124/1637742989441495.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
::: hljs-center

![38.png](https://s2.51cto.com/images/20211124/1637742996981882.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
**再次修改配置文件,允许root用户可以在tty6终端登录,并测试**
::: hljs-center

![39.png](https://s2.51cto.com/images/20211124/1637743069169866.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
::: hljs-center

![40.png](https://s2.51cto.com/images/20211124/1637743077162733.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
::: hljs-center

![41.png](https://s2.51cto.com/images/20211124/1637743085185592.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
### (三)禁止普通用户登录
login程序会检查/etc/nologin文件是否存在,如果存在,则拒绝普通用户登录系统(root 用户不受限制)

操作方法:

第一步:创建**/etc/nologin文件**

第二步:删除nologin文件或重 启后恢复正常
#### 实例操作
**创建文件,并进行测试**
::: hljs-center

![42.png](https://s2.51cto.com/images/20211124/1637743181846376.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
::: hljs-center

![43.png](https://s2.51cto.com/images/20211124/1637743196466760.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
::: hljs-center

![44.png](https://s2.51cto.com/images/20211124/1637743204975075.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
**删除文件,并进行测试**
::: hljs-center

![45.png](https://s2.51cto.com/images/20211124/1637743240232642.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::
::: hljs-center

![46.png](https://s2.51cto.com/images/20211124/1637743247988989.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

:::