如何完成Linux账号的安全管理呢

漏洞概述：为了防止密码遭到暴力破解攻击或口令字猜测攻击，需要检查密码最小长度是否被设置，密码最小长度未设置或设置很短的情况下容易遭受攻击

安全对策：需修改密码策略设置文件将密码最小长度设为8位以上

安全设置方法：

- SunOS1)使用vi编辑器打开"/etc/default/passwd"文件

2)设置为PASSLENGTH=8

- Linux1)使用vi编辑器打开"/etc/login.defs"文件

2)设置为PASS_MIN_LEN 8

- AIX1)使用vi编辑器打开"/etc/security/user"文件

2)设置为minlen=8

- HP-UX

1)使用vi编辑器打开"etc/default/security"文件；2)设置为MIN_PASSWORD_LENGTH=8

二、 设置密码最长使用期限

漏洞概述：如未设置密码最长使用期限，一段时间后密码很可能会流出，因而造成攻击者的非法访问

安全对策：修改密码策略设置文件，将密码最长使用期限设置为90天(12周)

安全设置方法：

- SunOS

#cat /etc/default/passwd

MAXWEEKS=12

- Linux

#cat /etc/login.defs

PASS_MAX_DAYS 90

- AIX

#cat /etc/security/user

maxage=12

- HP-UX

#cat /etc/default/security

PASSWORD_MAXDAYS=90

是一种安全通道协议 , 主要用来远程登录。在 RHEL 5 系统中使用的是 OpenSSH 服务器由 openssh ，

openssh-server 等软件包提供的 ( 默认已经安装 ) ，并以将 sshd 添加为标准的系统服务。 使用方法如下：

复制代码代码如下:

$ ssh host

$ ssh <a href="mailto:username@host">username@host</a>

$ ssh -p 222 <a href="mailto:username@host">username@host</a>

-p: 指定访问端口 如果省略该参数 , 则默认访问 SSH 服务的默认端口 22

如果是第一次登录对方主机 , 则系统会出现一下提示 :

复制代码代码如下:

The authenticity of host 'host(192.168.0.21)' can't be established.

RSA key fingerprint is 98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d.

Are you sure you want to continue connecting (yes/no)?

这段话是说，无法确认 host 主机的真实性，只知道它的公钥指纹，问你还想继续连接吗？

输入 yes 之后，系统会出现一句提示，表示 host 主机已经得到认可。

复制代码代码如下:Warning: Permanently added 'host, 192.168.0.21 ' (RSA) to the list of known hosts.

然后要求输入密码：

复制代码代码如下:

$ Password: (enter password)

此时，如果秘密正确，就可以登录了。

二、无密码登录方法

在信任环境下，如果每次远程登录时，都要输入密码，感觉太浪费时间了，尤其是密码很复杂、维护的服务器比较多的情况下。

于是有了正常需求：不用输入密码即可实现远程登录。

实现步骤如下：

1 、本地生成 一对秘钥文件 ( 公钥和私钥 )

复制代码代码如下:

$ ssh-keygen

# 以上命令等价于 ssh-keygen -t rsa

#-t: 指定密钥的类型 , 默认为 SSH-2 的 rsa 类型

运

行上面的命令后，系统会出现一系列提示，可以一路回车。 特别说明 ，其中有一个问题是， 要不要对私钥设置口令（ passphrase ）

，如果担心私钥的安全，可以设置一个。运行结束以后，会在 ~/.ssh/ 目录下新生成两个文件： id_rsa.pub 和 id_rsa

。前者公钥，后者是私钥。

2 、将公钥传送到远程主机 host 上面

复制代码代码如下:$ ssh-copy-id <a href="mailto:user@host">user@host</a>

经过以上两步之后，就可以实现无密码远程登录了 ( 远程主机将用户的公钥保存在 ~/.ssh/authorized_keys 文件中 ) 。