我要问您一个简单的问题,至少比“如何清理被盗用的用户帐户?”简单得多。问题是:“如何禁用被盗用的用户帐户?”有几件显而易见的事情要做:
- 禁用用户登录(我们通过将其主目录更改为 /disabled/home/user 来实现此目的)
- 禁用用户的 Apache 网站(再次,但用虚假路径替换。)
- 使用以下命令终止所有用户进程
pkill -9 -u username - 检查他们没有假脱机的 cronjobs
因此,如果它们的进程神秘地出现后退做完这些事之后,我们错过了什么?
答案1
我还会做以下事情:
a. Disable the account password, via passwd -l
b. Change the users' login shell to /bin/false
c. Remove the users' .ssh directory
d. Remove the users' .rhosts file
答案2
我同意 mdpc 的观点。不过,除了他的建议之外,我可能还会添加另一个建议。有一种方法可以通过 /etc/security/limits.conf 对每个用户的用户进程进行限制。(我不知道这是否在所有发行版中都是统一的。)您可以通过将限制设置为 0 来禁止属于该用户的进程。
此链接可能会对您有所帮助 - 请参阅第 1.4 节“限制”。