摘要：Linux是一个基于UNIX系统的多用户、多任务、支持多线程和多CPU的操作系统。在Linux系统中，多用户是指在同一时刻可以有多个用户同时使用操作系统而且互不干扰，而多任务则指的是任何一个用户在同一时间可以在操作系统上运行多个程序。

Linux服务器以其安全、高效和稳定的显著优势而得以广泛应用，不过，如果不做好用户账号的管理，系统的安全性得不到更好的保障。因此，为提高系统的稳定性，加强账号安全管理必不可少。

本文将使用CentOS7操作系统，详细介绍账号管理的风险点及其防范措施。详细内容请参考下文。

一、访问Linux

1、登录Linux

2、查看linux版本

二、用户账号管理

1、禁用或删除无用帐号

说明：当Linux系统安装完毕后，系统默认自带了一些虚拟账户，比如bin、adm、lp、postfix等，这些账号理论上是可以删除的。但是因为它们的登录shell都是/sbin/nologin，所以本身也是无法登录的，不删也可以。不过要注意的是系统安装完成后，手动创建的一些账户，比如这些登录shell是/bin/bash，就一定要管理好。

（1）、查看所有账号

执行指令# cat /etc/passwd查看系统所有的帐号

备注：passwd文件对应各个字段描述如下：

用户名:密码: uid: gid:用户描述:主目录:登陆shell

解决办法：

第一步：注释系统自带的账号，需要注释掉的用户主要包括：adm、lp、sync、shutdown、halt、operator、games、ftp、postfix、mail、dovecot等

注意：不建议直接删除，当你需要某个用户时，自己重新添加会很麻烦。

首先，执行指令# cp /etc/passwd /etc/passwdbak备份帐号文件

然后执行指令# vim /etc/passwd注释无用帐号

第二步：注释用户组，注释的用户组包括：adm,lp,mail,games,ftp,audio等

首先执行指令# cp /etc/group /etc/groupbak备份用户组

然后执行指令# vim /etc/group注释掉无用用户组

（2）、禁用账户

执行指令# passwd -l禁用账户

说明：使用passwd -l禁用账户user，禁用后，root用户仍然可以su，但是其他用户无法su到user，也无法通过xshell去ssh到user了。

（3）、解锁账户

执行指令# passwd -u解锁帐户

说明：使用passwd -u解锁user后，账户user可以正常登陆。

2、检查特殊账号

说明：检查是否存在空口令和root权限的账号。

（1）、检测空口令账户

执行指令# awk -F: '$2=="!!" {print $1}' /etc/shadow查看空口令帐号

然后执行指令# grep -v "/sbin/nologin" /etc/passwd查看哪些用户可以登录系统

备注：对比上述操作，发现admandabackup帐号是空口令并且可以登录系统，需要将其暂时注释禁用。

（2）、检测root权限账号

说明：使用命令 awk -F: '($3==0)' /etc/passwd 查看UID为零的账号，确保uid为0的账号只能是root账号。

执行指令# awk -F: '($3==0)' /etc/passwd查看root权限帐号