passwd -d删除用户(包括 apache、bind 等服务用户)的所有密码 ( ) 并仅保留 root 密码是否安全?我怀疑恶意用户可能对这些用户之一设置了密码,以便稍后访问。
答案1
安全的有点主观。我会说不,更好的方法是
passwd -l <account_name>到锁账户,- 验证所有服务帐户(例如 apache、bind)也已锁定并且它们具有未登录或者非交互式shell 诸如
/bin/false或bin/true, [ 或者/bin/nologin如果您的系统上可用 ] ...抱歉,我完全忘记了当前的 shell 类型是什么,但基本点是对于不需要交互式/登录 shell 的服务类型帐户,请确保它们没有;他们不应该有/bin/bash - 监视您的日志文件和审核日志并注意任何类型的危险信号
passwd -Sa显示所有帐户(如果它们被锁定)非常有用
答案2
完全删除用户会更安全。如果您希望它们在那里但无法访问,只需将它们的主目录设置为/dev/null,它们就会登录并自动注销