一、賬號安全控制

(一)系統賬號清理

  • 將非登陸用戶的Shell設為/sbin/nologin或者/bin/falsh
    usermod -s /sbin/nologin 用戶名
  • 鎖定長期不使用的賬號
    usermod -L 用戶名           鎖定用戶賬戶  usermod -U 用戶             解鎖用戶賬戶

passwd -l 用戶名 鎖定用戶password
passwd -u 用戶名 解鎖用戶賬戶
passwd -S 用戶名 查看用戶狀態

- 刪除無用的賬號

userdel -r 用戶名 刪除用戶及其宿主目錄

- 清空一個賬號password

passwd -d 用戶名 清空賬戶password

- 鎖定賬號文件passwd、shadow

chattr +i /etc/passwd /etc/shadow 鎖定文件 (passwd和shadow可以同時鎖定)
lsattr /etc/passwd /etc/shadow 查看文件狀態
chattr -i /etc/passwd /etc/shadow 解鎖文件

**操作:**::: hljs-center![1.png](https://s2.51cto.com/images/20211124/1637733049332281.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::**鎖定后root用戶此時也修改不了password**::: hljs-center![2.png](https://s2.51cto.com/images/20211124/1637733159528480.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::**解鎖后:**::: hljs-center![3.png](https://s2.51cto.com/images/20211124/1637733178354202.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::### (二)password安全控制#### 新用戶password有效期設置- 設置password有效期- 要求用戶下次登錄時修改password- password配置文件 /etc/login.defs**說明:**修改password配置文件**,適用于新建用戶**介紹一下password配置文件:/etc/login.defs

###################password設置信息
PASS_MAX_DAYS 99999 #password最大有效天數
PASS_MIN_DAYS 0 #最小有效天數
PASS_MIN_LEN 5 #password最最小長度
PASS_WARN_AGE 7 #password過期警告時間
###############用戶的UID范圍西信息

Min/max values for automatic uid selection in useradd

#就是普通用戶的UID范圍
UID_MIN 1000
UID_MAX 60000

System accounts

#系統用戶UID的范圍
SYS_UID_MIN 201
SYS_UID_MAX 999

普通用戶的UID號范圍 100-60000系統用戶的UID范圍 201-999修改下次登錄時間:PASS_MAX_DAYS 30方式:可以直接修改配置文件里面原來的password有效期也可以在最后一行**思路:**

#先創建一個用戶:lisi
#修改password配置文件/etc/login.def里面的PASS_MAX_DAYS +時間
#創建一個賬戶:cheng
#vim /etc/shadow 查看: 顯示lisi 有效天數沒變,但是qing的有效天數變成了30天

**操作:**/etc/login.defs文件修改::: hljs-center![4.png](https://s2.51cto.com/images/20211124/1637733855639362.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::**步驟:**::: hljs-center![5.png](https://s2.51cto.com/images/20211124/1637733890833580.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::**/etc/shadow賬號文件信息**::: hljs-center![6.png](https://s2.51cto.com/images/20211124/1637733933721763.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::**注意:這里的新建用戶是指修改password配置文件/etc/login.defs修改后才建立的**#### 老用戶password有效期修改**格式:**

chage -M 天數 用戶名
例:chage -M 30 lisi

**操作:**::: hljs-center![7.png](https://s2.51cto.com/images/20211124/1637734929385182.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::#### 強制下次登錄更改password**格式:**

chage -d 0 用戶名
例子:
chage -d 0 lisi
cat /etc/shadow | grep lisi #查看

**操作:**::: hljs-center![8.png](https://s2.51cto.com/images/20211124/1637734998198371.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::### (三)命令歷史限制#### 命令歷史限制(/etc/profile全局系統配置文件)**說明**:為什么命令歷史限制可以更安全呢?因為歷史命令里面可能會包含你之前的一些操作明命令,如果有你的賬戶創建的信息的話高呢容易crack,會造成風險**減少記錄的命令條數****格式:**

history #查看N多password
history + 數字 #查最近使用的password(幾條看數字)
###########命令歷史限制步驟

vi /etc/profile

最后一行加入 export HISTSIZE=200 #就是限制只能查看最近的兩百條命令信息,數字自己根據情況修改,也可以在原本的默認上面是進行修改

source /etc/profile #修改之后進行刷新

注:./etc/profile #效果也是刷新

**思路**:==由于之前操作了history -c清楚了命令==,再查看是(暫時)顯示不出以前的命令,重啟一下就可以顯示歷史命令了**操作:**init 6重新查看歷史命令::: hljs-center![9.png](https://s2.51cto.com/images/20211124/1637735789717038.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::**然后查看及修改全局配置文件/etc/profile**原:::: hljs-center![10.png](https://s2.51cto.com/images/20211124/1637736045537948.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::現:::: hljs-center![11.png](https://s2.51cto.com/images/20211124/1637736067998543.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::刷新:::: hljs-center![12.png](https://s2.51cto.com/images/20211124/1637736140542043.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::查看:::: hljs-center![13.png](https://s2.51cto.com/images/20211124/1637736191541105.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::全局配置文件/etc/bashrc,對所有用戶有效自己家目錄中的 :vim .bashrcvim /etc/local.rc**登錄時自動清空命令歷史(history -c )**說明:雖然清空之后不顯示歷史命令,但其實歷史操作命令都在 ~/.bash_history里面格式:

history -c #清空歷史命令

操作:::: hljs-center![14.png](https://s2.51cto.com/images/20211124/1637736358100177.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::注意:雖然在此處看不到歷史命令,但是歷史命令都在家目錄下的.bash_history文件里(==包括登錄前的歷史命令==)查看:::: hljs-center![15.png](https://s2.51cto.com/images/20211124/1637736607910343.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::.bash_history文件信息::: hljs-center![16.png](https://s2.51cto.com/images/20211124/1637736626679857.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::### (四)終端自動注銷**閑置 [ n ] 秒后自動注銷。(n為數字)**格式:

vim /etc/profile #編輯/etc/profile文件
export TMOUT=60 #設置全局自動注銷時間

實例操作:::: hljs-center![17.png](https://s2.51cto.com/images/20211124/1637736841590609.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::### (五)使用su命令切換用戶####  用途和格式- 用途:Substitute User,切換用戶- 格式:su - 目標用戶(橫杠“ - ”代表切換到目標用戶的家目錄)#### password驗證- root - - - >任意用戶,不驗證password- 普通用戶- - - >其他用戶,驗證目標用戶的password- 帶 “ - ” 表示將使用目標用戶的登錄Shell環境#### 格式詳情

切換用戶
su - zhangsan #root切換普通用戶
su - root #普通用戶切換其他用戶
查看當前登錄的用戶
whoami #顯示當前登錄的用戶

操作:::: hljs-center![18.png](https://s2.51cto.com/images/20211124/1637737000637833.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::### (六)限制使用su命令的用戶- 將允許使用su命令的用戶加入wheel組中;- 啟用pam_wheel 認證模塊**操作步驟格式:**

gpasswd -a zhangsan wheel #將希望可以使用su命令的用戶加入到wheel組中
vim /etc/pam.d/su #編輯/etc/pam.d/su配置文件
auth required pam_wheel.so use_uid #將此行的注釋取消即可,表示在wheel組的成員可以使用su命令,其他成員則不能使用su命令

操作:!::: hljs-center[19.png](https://s2.51cto.com/images/20211124/1637737508823085.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::::: hljs-center![20.png](https://s2.51cto.com/images/20211124/1637737517167911.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::### (七)Linux中的PAM安全認證#### su命令的安全隱患默認情況下,任何用戶都允許使用su命令,有機會反復嘗試其他用戶(如root) 的登錄password,帶來安全風險;為了加強su命令的使用控制,可借助于PAM認證模塊,只允許極個別用戶使用su命令進行切換。#### PAM(Pluggable Authentication Modules)可插拔式認證模塊- 是一種高效而且靈活便利的用戶級別的認證方式;- 也是當前Linux服務器普遍使用的認證方式。#### PAM認證原理:- PAM認證一般遵循的順序: ==Service (服務) --> PAM (配置文件) --> pam_*.so;==。- PAM認證首先要確定哪一項應用服務,然后加載相應的PAM的配置文件(位于/etc/pam.d下),最后調用認證模塊(位于/lib64/security/下)進行安全認證。- 用戶訪問服務器的時候,服務器的某一個服務程序把用戶的請求發送到PAM模塊進行認證。不同的應用程序所對應的PAM模塊也是不同的。- 如果想查看某個程序是否支持PAM認證,可以用ls命令進行查看/etc/pam.d/- PAM的配置文件中的每一行都是一個獨立的認證過程,它們按從上往下的順序依次由PAM模塊調用。1.第一列代表PAM認證模塊類型- auth:對用戶身份進行識別,如提示輸入password,判斷是否為root。- account:對賬號各項屬性進行檢查,如是否允許登錄系統,帳號是否已經過期,是否達到最大用戶數等- password:使用用戶信息來更新數據,如修改用戶password- session:定義登錄前以及退出后所要進行的會話操作管理,如登錄連接信息,用戶數據的打開和關閉,掛載文件系統2.第二列代表PAM控制標記- required:表示需要返回一個成功值,如果返回失敗,不會立刻將失敗結果返回,而是繼續進行同類型的下一驗證,所有此類型的模塊都執行完成后,再返回失敗- requisite:與required類似,但如果此模塊返回失敗,則立刻返回失敗并表示此類型失敗- sufficient:如果此模塊返回成功,則直接向程序返回成功,表示此類成功,如果失敗,也不影響這類型的返回值- optional:不進行成功與否的返回,一般不用于驗證,只是顯示信息(通常用于 session 類型)- include:表示在驗證過程中調用其他的PAM配置文件。比如很多應用通過完整調用/etc/pam.d/system-auth(主要負責用戶登錄系統的認證工作)來實現認證而不需要重新逐一去寫配置項|      |            |       | 用戶1 | 用戶2 | 用戶3 | 用戶4 || ---- | ---------- | ----- | ----- | ----- | ----- | ----- || auth | required   | 模塊1 | pass  | fail  | pass  | pass  || auth | sufficient | 模塊2 | pass  | pass  | fail  | pass  || auth | required   | 模塊3 | pass  | pass  | pass  | fail  ||      |            | 結果  | pass  | fail  | pass  | pass  |3.第三列代表PAM模塊,默認是在/lib64/security/目錄下,如果不在此默認路徑下,要填寫絕對路徑4.第四列代表PAM模塊的參數,這個需要根據所使用的模塊來添加。::: hljs-center![21.png](https://s2.51cto.com/images/20211124/1637741434601851.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::### (八)使用sudo機制提升權限#### sudo命令的用途及用法- 用途 :以其他用戶身份(如root執行授權的命令)- 用法:sudo 權限命令#### 配置sudo授權- visudo或者vi /etc/sudoers(此文件沒有寫的權限,保存時必須 wq!強制執行操作)- 記錄格式:用戶 主機名=命令程序列表- 可以使用通配符“ * ”號任意值和“ !”號進行取反操作。- 權限生效后,有5分鐘的閑置時間,超過5分鐘沒有操作則需要再輸入password。#### 操作格式

用戶 主機名=命令程序列表
用戶 主機名=(用戶)命令程序列表
zhangsan ALL=(root) /sbin/ifconfig sudo -l #查詢授權的sudo操作

- 用戶: 直接授權指定的用戶名,或采用“&組名"的形式(授權一個組的所有用戶)。- 主機名:使用此規則的主機名。沒配置過主機名時可用localhost,有配過主機名則用實際的主機名,ALL則代表所有主機。- (用戶):用戶能夠以何種身份來執行命令。此項可省略,缺省時以root用戶的身份來運行命令。- 命令程序列表:允許授權的用戶通過sudo方式執行的特權命令,需填寫命令程序的完整路徑,多個命令之間以逗號“,"進行分隔。ALL則代表系統中的所有命令- 執行調用格式為(用戶名 網絡中的主機=(執行命令的目標用戶) 執行的命令范圍)#### 啟用sudo操作日志- 需啟用Defaults logfile配置- 默認日志文件:/var/log/sudo- 操作:在/etc/sudoers末尾添加Defaults logfile="/var/log/sudo"**操作**wheel組的成員可以操作sudo,而非wheel組則不可以,查找原因::: hljs-center![22.png](https://s2.51cto.com/images/20211124/1637741835133573.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::::: hljs-center![23.png](https://s2.51cto.com/images/20211124/1637741896378904.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::設置指定用戶可以使用sudo指定的命令,并測試**進入vim /etc/sudoers ,將wheel組權限加“#”號注釋,并在末尾添加配置,最后強制保存并退出**::: hljs-center![24.png](https://s2.51cto.com/images/20211124/1637742008102277.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::**進行測試**::: hljs-center![25.png](https://s2.51cto.com/images/20211124/1637742051824569.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::**設置執行sudo命令時不需要輸入password,并測試**::: hljs-center![26.png](https://s2.51cto.com/images/20211124/1637742102314106.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::::: hljs-center![27.png](https://s2.51cto.com/images/20211124/1637742110697899.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::**在/car/log下創建sudo日志文件,用來存儲用戶使用的sudo命令記錄,并測試**::: hljs-center![28.png](https://s2.51cto.com/images/20211124/1637742220951687.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::::: hljs-center![29.png](https://s2.51cto.com/images/20211124/1637742229706299.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::## 二、系統引導和登錄控制### (一)開關機安全控制#### 調整BIOS引導設置將第一引導設備設為當前系統所在硬盤;禁止從其他設備(光盤、 U盤、網絡)引導系統;將安全級別設為setup,并設置管理員password。#### GRUB限制使用grub2-mkpasswd-pbkdf2生成密鑰;修改/etc/grub.d/00_ header文件中, 添加password記錄;生成新的grub.cfg配置文件。#### 限制更改GRUB引導參數通常情況下在系統開機進入GRUB菜單時,按e鍵可以查看并修改GRUB引導參數,這對服務器是一個極大的威脅。可以為GRUB菜單設置一個password,只有提供正確的password才被允許修改引導參數。**操作:**::: hljs-center![30.png](https://s2.51cto.com/images/20211124/1637742568485783.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::::: hljs-center![31.png](https://s2.51cto.com/images/20211124/1637742578455715.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::::: hljs-center![32.png](https://s2.51cto.com/images/20211124/1637742585632100.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::::: hljs-center![33.png](https://s2.51cto.com/images/20211124/1637742594364190.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::::: hljs-center![34.png](https://s2.51cto.com/images/20211124/1637742617841469.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::### (二)限制root只在安全終端登錄在Linux系統中,login 程序會讀取/etc/securetty文件,以決定允許root 用戶從哪些終端(安全終端)登錄系統修改此配置文件:vim /etc/ securetty#### 終端介紹- 安全終端配置:/etc/securetty- tty1~ 6是文本型控制臺,tty7 是X Window圖形顯示管理器。可以通過CtrI+Alt+F1 (F1-F7鍵) 切換到對應的登錄控制臺。**注:按ctrl+Alt+F1回到圖形化界面**#### 實例操作**設置不允許root用戶使用tty5和tty6終端登錄**::: hljs-center![35.png](https://s2.51cto.com/images/20211124/1637742923325890.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::**設置完成后,重啟主機,進行切換終端測試是否可以登錄**::: hljs-center![36.png](https://s2.51cto.com/images/20211124/1637742981600918.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::::: hljs-center![37.png](https://s2.51cto.com/images/20211124/1637742989441495.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::::: hljs-center![38.png](https://s2.51cto.com/images/20211124/1637742996981882.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::**再次修改配置文件,允許root用戶可以在tty6終端登錄,并測試**::: hljs-center![39.png](https://s2.51cto.com/images/20211124/1637743069169866.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::::: hljs-center![40.png](https://s2.51cto.com/images/20211124/1637743077162733.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::::: hljs-center![41.png](https://s2.51cto.com/images/20211124/1637743085185592.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::### (三)禁止普通用戶登錄login程序會檢查/etc/nologin文件是否存在,如果存在,則拒絕普通用戶登錄系統(root 用戶不受限制)操作方法:第一步:創建**/etc/nologin文件**第二步:刪除nologin文件或重 啟后恢復正常#### 實例操作**創建文件,并進行測試**::: hljs-center![42.png](https://s2.51cto.com/images/20211124/1637743181846376.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::::: hljs-center![43.png](https://s2.51cto.com/images/20211124/1637743196466760.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::::: hljs-center![44.png](https://s2.51cto.com/images/20211124/1637743204975075.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::**刪除文件,并進行測試**::: hljs-center![45.png](https://s2.51cto.com/images/20211124/1637743240232642.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::::: hljs-center![46.png](https://s2.51cto.com/images/20211124/1637743247988989.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=):::