|
[系统账号清理]将非登录用户的Shell设为/sbin/nologin如bin,daemon,adm,lp,mail,nobody,apache,mysql,dbus,ftp,gdm,haldaemon等锁定长期不使用的账号usermod -L abc //锁定账号usermod -U abc //解锁账号passwd -S //查看账号状态删除无用的账号如new,uucp,games,gopher等锁定账号文件passwd、shadowchattr +i /etc/passwd /etc/shadow //锁定文件chattr -i /etc/passwd /etc/shadow //解锁文件lsattr /etc/passwd /etc/shadow //查看锁定状态[密码安全控制]设置密码有效期[root@steven ~]# vi /etc/login.defs #适用于新建的用户 …… PASS_MAX_DAYS 30 [root@steven ~]# chage -M 30 lisi #使用于已有的lisi用户要求用户下次登录时修改密码[root@steven ~]# chage -d 0 zhangsan #强制在下次登录时更改密码[命令历史限制]减少记录的命令条数[root@steven ~]# vi /etc/profile …… HISTSIZE=200 #适用于新登录用户 export HISTSIZE=200 #适用于当前用户注销时自动清空命令历史[root@steven ~]# vi ~/.bash_logout …… history -c clear[终端自动注销]闲置600秒后自动注销[root@steven ~]# vi ~/.bash_profile …… export TMOUT=600[su用途及用法]用途:Substitute User,切换用户格式:su - 目标用户"-"等同于"--login"或"-l",表示切换后进入目标用户的登录shell环境密码验证root → 任意用户, 不验证密码普通用户 → 其他用户,验证目标用户的密码限制使用su命令的用户启用pam_wheel认证模块[root@steven ~]# vim /etc/pam.d/su #%PAM-1.0 auth required pam_wheel.so use_uid将允许使用su命令的用户加入wheel组[root@steven ~]# gpasswd -a abc wheel Adding user abc group wheel查看su操作记录安全日志文件:/var/log/secure[sudo用途及用法]用途:以其他用户身份(如root)执行授权的命令用法:sudo 授权命令密码验证初次执行sudo命令时,验证当前用户的密码不需验证目标用户的密码配置sudo授权visudo 或者 vi /etc/sudoers记录格式:用户 主机名列表=命令程序列表[root@steven ~]# visudo …… %wheel ALL=NOPASSWD: ALL jerry localhost=/sbin/ifconfig#支持“*”通配,“!”取反 syriane localhost=/sbin/*,!/sbin/ifconfig,!/sbin/route#支持命令别名,类似别名还包括:User_Alias、Host_Alias Cmnd_Alias PKGTOOLS=/bin/rpm,/usr/bin/yummike localhost=PKGTOOLS查看sudo操作记录需启用 Defaults logfile 配置默认日志文件:/var/log/sudo[root@steven ~]# visudo …… Defaults logfile = "/var/log/sudo"[abc@steven ~]$ sudo -l [sudo] password for syrianer: #初次使用sudo时需验证当前用户的密码 …… User syrianer may run the following commands on this host: (root) /sbin/*, (root) !/sbin/ifconfig, (root) !/sbin/route#默认超时为5分钟,在此期间不再重复验证 [abc@steven ~]$ sudo /sbin/fdisk -l …… Device Boot Start End Blocks Id System /dev/sda1 * 1 13 104391 83 Linux /dev/sda2 14 10443 83778975 8e Linux LVM[开关机安全控制]调整BIOS引导设置将第一引导设备设为当前系统所在硬盘禁止从其他设备(光盘、U盘、网络)引导系统将安全级别设为setup,并设置管理员密码禁用重启热键Ctrl+Alt+Del避免因用户误操作导致重启[root@steven ~]# vi /etc/inittab …… #ca::ctrlaltdel:/sbin/shutdown -t3 -r now [root@steven ~]# init q #重新读取配置GRUB菜单限制未经授权禁止修改启动参数未经授权禁止进入指定系统密码设置方式(grub.conf)password 明文密码串password --md5 加密密码串密码记录的位置全局部分(第一个“title”之前)系统引导部分(每个“title”部分之后)GRUB限制的实现使用grub-md5-crypt获得加密字串[root@steven ~]# grub-md5-crypt Password: Retype password: $1$Kndw50$wRW2w1v/jbZ8n5q2fON4y/修改grub.conf文件,添加密码记录[root@steven ~]# vi /boot/grub/grub.conf …… password --md5 $1$Kndw50$wRW2w1v/jbZ8n5q2fON4y/title Red Hat Enterprise Linux Server (2.6.18-194.el5) root (hd0,0) kernel /vmlinuz-2.6.18-194.el5 ro root=/dev/VolGroup00/LogVol00 initrd /initrd-2.6.18-194.el5.img修改系统登录提示本机登录提示:/etc/issue网络登录提示:/etc/issue.net减少开放终端个数[root@steven ~]# vi /etc/inittab …… #禁用三个终端:tty1、tty2、tty3 # Run gettys in standard runlevels #1:2345:respawn:/sbin/mingetty tty1 #2:2345:respawn:/sbin/mingetty tty2 #3:2345:respawn:/sbin/mingetty tty3 4:2345:respawn:/sbin/mingetty tty4 5:2345:respawn:/sbin/mingetty tty5 6:2345:respawn:/sbin/mingetty tty6 [root@steven ~]# init q限制root只在安全终端登录安全终端配置:/etc/securetty[root@steven ~]# vi /etc/securetty …… #禁止root用户从终端tty5、tty6登录 tty1 tty2 tty3 tty4 #tty5 #tty6禁止普通用户登录建立/etc/nologin文件删除nologin文件或重启后即恢复正常[root@steven ~]# touch /etc/nologin #禁止普通用户登录 [root@steven ~]# rm -rf /etc/nologin #取消上述登录限制
(以上内容不代表本站观点。) --------------------------------- |
本網站是"非商業"(non-commercial)。
