系统账户安全及应用
基本安全措施
计算机所谓的清理，很大一部分并不是删除，而是不让它起作用。首先为了安全起见，会对系统自带的账号进行清理。也就是限制登录，不让它起作用。

1. 系统账号清理

1. 将非登录用户的shell修改为/sbin/nologin
   usermod -s
   chsh命令
   chsh -s
   还可以直接vim编辑/etc/passwd文件进行修改
   chsh命令 交互式修改用户的登录权限
   
   chsh -s 非交互修改
   
2. 锁定长期不使用的账号
   passwd -l 将在密文前面加2个！ 解锁passwd -u 查看passwd -s
   usermod -L 将在密文前加1个！ 解锁usermod -u
   也可直接vim编辑/etc/shadow
3. 删除无用账号（不推荐删除）
   userdel 用户名
   通过+i锁的方式锁定账号文件 /etc/passwd、/etc/shadow
   锁定：chattr +i 文件名 i锁通常用于很重要但是又不需要经常修改的文件
   解锁：chattr -i 文件名
   查看：lsattr 文件名 查看文件的特殊权限
   如果不加文件名，则是查看当前目录下的所有
   chattr只能超户使用，普通用户没有权限。+i锁定后的文件跳出了rwx读写执的范畴，强行进入只读权限，任何用户（包括超户）不允许进行任何修改，修改包括改变和新增。除非超户解除锁定。
   如果chattr +i锁定passwd文件就无法再创建用户，也无法再进行修改。
   
   chattr +a 文件名
   chattr +a可以追加内容，但是不能修改内容。如果+a锁定passwd文件可以创建用户，但是不能修改用户。

2. 密码安全控制

1. 修改某个已存在的用户密码有效期
   chage -M 天数 用户名
   passwd -x 天数 用户名
   
   
2. 设置今后添加用户的默认密码有效期
   用vim编辑/etc/login.defs文件，修改“PASS_MAX_DAY”后面的数值
   
3. 要求用户下次登录时修改密码
   chage -d 0 用户名
   
   

3. 命令历史限制
   history查看历史记录
   history -c清空历史记录
   家目录下ls -a查看隐藏文件，文件.bash_history里也有记录。而且history -c无法清空。

1. 减少历史的命令数量
   /etc/profile文件，系统全局变量文件，所有和变量相关的都应该放在这里。可以在此文件里修改任何系统全局变量，并且永久生效。
   编辑/etc/profile文件
   使用vim编辑/etc/profile文件，把“HISTSIZE=”后面的值修改为想要的数字。
   
   export HISTSIZE=数值
   export全局生效命令，当前进程下所有子进程全部生效。export HISTSIZE=修改后的数值，仅当前用户环境下生效
   
2. 注销时自动清空历史命令
   vim编辑用户家目录下的.bash_logout文件，添加history -c
   

4. 终端自助注销
   TMOUT=数值 是在多长时间没有命令输入之后，退出登录
   vim编辑/etc/profile文件
   
   source强制重新加载命令
   后加文件名，强制重新加载指定文件
   export TMOUT=任意数值
   
   source强制重新加载命令
   后加文件名，强制重新加载指定文件
   .bash_logout退出时执行此文件
   为什么企业服务器用linux多
   linux操作系统里子进程如果没有对操作系统做任何改变（只是读取并没有修改），是不会给它分配操作空间的。用的还是父进程的空间。
   linux操作系统内存分配原理是 写时复制（copy on write）技术。这种技术会大大降低对内存的占用。
   切换用户su命令
   普通用户切换到别的用户都需要密码，只有超户切换到普通用户不需要密码。
   切换用户的同时，并没有关闭之前的用户。可通过exit退出当前bash回到之前的用户。
   格式 su [-] 目标用户
   参数
   -初始化环境变量，不加-环境变量不改变
   加不加-的区别
   环境变量不一样
   起始位置不一样
   如果不加-则延用之前用户的环境变量，这种方法有可能发生有些安装在用户家目录里的命令会找不到，加了-之后相当于重新登录一个用户一样。
   加不加-起始位置也会发生变化。加-会切换到用户家目录，不加则位置不发生变化。
   
   su -c
   临时切换到某一个用户，执行一个命令，执行完自动返回到当前用户。切换到一个shell执行一个命令，然后退出所切换的用户环境。需要输入root的密码。
   
   如果是root切换普通用户则不需要密码，通常用于/etc/rc/local文件里，因为此文件开机执行是以超户身份执行，但是为了确保安全有些进程必须以普通用户身份执行就会用到-c参数。
   查看su操作记录
   
   提升权限sudo命令
   su命令的缺点
   
   作用
   让普通用户临时执行超户的权限
   用法格式
   sudo 后加授权的命令，如果是未授权的命令则会被拒绝权限。
   sudo是提取权限，不是切换用户，所以输入的密码是自己账户的密码。默认为首次执行时，输入当前用户的登录密码，5分钟内再次执行sudo命令则无需再次输入密码。
   参数
   sudo -l
   查看当前用户在主机上可用的和被禁止的命令，配置好sudo权限后，可以用这个参数来查看授权情况。
   sudo -v
   验证用户的时间戳，当前用户运行sudo输入用户密码后，在短时间内不用再次输入密码也可直接进行sudo提权，用此参数可以跟踪最新的时间戳
   sudo -u
   指定以某个用户身份执行特定的命令操作
   sudo -k
   效果同-K，删除时间戳，下一个sudo命令需要提供密码，前提是该用户不能有NOPASSWD参数，时间戳默认5分钟也会失效
   对单用户授权
   visudo命令
   /etc/sudoers文件只能通过visudo命令才能修改，文件修改后只有文件关闭才会生效。
   /etc/sudoers文件里98行 root ALL=(ALL) ALL
   其中root为用户 第一个ALL是IP地址
   第二个（ALL）是主机名，可以不写代表所有主机名
   第三个ALL是所有的命令能干什么
   命令前加！取反代表不能使用那个命令，取反的命令要放到后面
   如果需要授权多个命令则用，逗号做区分
   Nopasswd是免密码 加在第二个ALL后面，第三个ALL前面
   
   授权命令组，但限制具体命令
   
   限制命令执行范围
   
   对用户组授权
   %是对用户组授权，后加用户组名称
   
   
   配置sudo命令用户行为日志审计