今天分享一下Linux賬號管理的一些注意點。新手比較容易忽略。

1. 禁止root遠程登錄

Linux默認是允許root賬戶通過SSH遠程登錄的，這相當于把系統的最高權限賬號暴露在公網，黑客只需要猜中密碼就能搞事情。

正確做法就是將root管理員進行禁止登錄。編輯 SSH 配置文件：

vim /etc/ssh/sshd_config

找到這行并改成：

PermitRootLogin no

然后重啟 SSH 服務：

systemctl restart sshd

建議創建一個普通用戶 + sudo 權限，安全性高很多。但是有些公司為了方便，一般都是不設置這個，看公司要求。

2. 刪除或鎖定不再使用的賬戶

一個被遺忘的賬號，也許已經被人“借走”了權限。

檢查長期未使用賬戶：

lastlog

或者查看所有賬號：

cut -d: -f1 /etc/passwd

對不需要的賬號執行以下操作：

• 鎖定賬號：

usermod -L 用戶名

• 刪除賬號：

userdel -r 用戶名

比如lp，mail等用戶可以進行禁用。

3. 限制sudo權限

杜絕“人人都是管理員”。很多人為了方便，直接把所有用戶加到sudoers里，出了問題找不到責任人，還可能被人“提權”操作。

正確姿勢：

• 僅為可信用戶配置 sudo。
• 編輯 sudo 配置用：

visudo

• 使用最小權限原則，比如只允許執行特定命令：

username ALL=(ALL) NOPASSWD:/usr/bin/systemctl status mysqld

4. 設置密碼復雜度和過期時間

別讓弱密碼成為漏洞。很多攻擊都是從“123456”、“password”這種弱密碼入手的。

(1) 加強密碼策略：

編輯 /etc/login.defs 或使用 chage 命令：

cat /etc/login.defs

chage --maxdays 90 用戶名   # 密碼90天過期
chage --mindays 7 用戶名    # 最短7天內不能修改密碼

(2) 使用 pam 模塊增強密碼復雜度：

vim /etc/pam.d/system-auth

添加或修改如下內容：

password requisite pam_pwquality.so retry=3 minlen=10 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1

5. 啟用登錄審計

Linux本身提供了強大的日志系統，通過配置日志和審計策略，你可以溯源一切操作記錄。

開啟審計功能（auditd）：

yum install auditd  && systemctl enable --now auditd

監控敏感操作，例如 /etc/passwd：

auditctl -w /etc/passwd -p wa -k passwd_change
ausearch -k passwd_change