今天分享一下Linux账号管理的号管悔一些注意点。新手比较容易忽略。该注个安

1. 禁止root远程登录

Linux默认是全点允许root账户通过SSH远程登录的，这相当于把系统的出事才后最高权限账号暴露在公网，黑客只需要猜中密码就能搞事情。号管悔

正确做法就是该注个安将root管理员进行禁止登录。编辑 SSH 配置文件：

复制vim /etc/ssh/sshd_config1.

找到这行并改成：

复制PermitRootLogin no1.

然后重启 SSH 服务：

复制systemctl restart sshd1.

建议创建一个普通用户 + sudo 权限，全点安全性高很多。出事才后但是号管悔有些公司为了方便，服务器托管一般都是该注个安不设置这个，看公司要求。全点

2. 删除或锁定不再使用的出事才后账户

一个被遗忘的账号，也许已经被人“借走”了权限。号管悔

检查长期未使用账户：

复制lastlog1.

或者查看所有账号：

复制cut -d: -f1 /etc/passwd1.

对不需要的该注个安账号执行以下操作：

锁定账号： 复制usermod -L 用户名1. 删除账号： 复制userdel -r 用户名1.

比如lp，mail等用户可以进行禁用。全点

3. 限制sudo权限

杜绝“人人都是管理员”。很多人为了方便，直接把所有用户加到sudoers里，免费源码下载出了问题找不到责任人，还可能被人“提权”操作。

正确姿势：

仅为可信用户配置 sudo。编辑 sudo 配置用： 复制visudo1. 使用最小权限原则，比如只允许执行特定命令： 复制username ALL=(ALL) NOPASSWD:/usr/bin/systemctl status mysqld1. 4. 设置密码复杂度和过期时间

别让弱密码成为漏洞。很多攻击都是从“123456”、“password”这种弱密码入手的。

(1) 加强密码策略：

编辑 /etc/login.defs 或使用 chage 命令：

复制cat /etc/login.defs1.

复制chage --maxdays 90 用户名 # 密码90天过期 chage --mindays 7 用户名 # 最短7天内不能修改密码1.2.

(2) 使用 pam 模块增强密码复杂度：

复制vim /etc/pam.d/system-auth1.

添加或修改如下内容：

复制password requisite pam_pwquality.so retry=3 minlen=10 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-11. 5. 启用登录审计

Linux本身提供了强大的日志系统，通过配置日志和审计策略，你可以溯源一切操作记录。

开启审计功能（auditd）：

复制yum install auditd && systemctl enable --now auditd1.

监控敏感操作，站群服务器例如 /etc/passwd：

复制auditctl -w /etc/passwd -p wa -k passwd_change ausearch -k passwd_change1.2.