一、Linux系统安全优化之基本安全措施 1.基本安全措施
1>.删除或禁用系统中不使用的用户和组
使用“-l”选项结合passwd命令可以锁定用户,“-u”为解锁 [root@localhost ~]# passwd -l qq //禁用账户qq
[root@localhost ~]# passwd -u qq //解锁账户qq 在密码字符前加两个叹号!
[root@localhost ~]# vi /etc/shadow //保存时为 :wq! 因为文件为只读 2>.确认程序或服务的登录shell不可用
[root@localhost ~]# vi /etc/passwd //将用户的登录shell改为/sbin/nologin 或
[root@localhost ~]# usermod -s /sbin/nologin qq 3>.限制用户的密码有效期(最大天数)
[root@localhost ~]# vi /etc/login.defs //只对新建立的用户有效 PASS_MAX_DAYS 30 或
[root@localhost ~]# chage -M 30 qq //只对已经存在的qq用户有效 4>.指定用户下次登录时必须更改密码 [root@localhost ~]# chage -d 0 qq 或
[root@localhost ~]# vi /etc/shadow //将shadow文件中qq用户LAST DAY 域(冒号 :分割的第三列)的值设为0 5>.限制用户密码的最小长度
[root@localhost ~]# vi /etc/pam.d/system-auth
password requisite pam_cracklib.so try_first_pass retry=3 minlen=12 retry 重试时间 minlen 安全级别
6>.限制记录命令历史的条数
[root@localhost ~]# vi /etc/profile HISTSIZE=50 (默认为1000)
[root@localhost ~]# echo \"history -c\" 》 ~/.bash_logout //注销时清除命令历史记录
7>.设置闲置超时自动注销终端 [root@localhost ~]# vi /etc /profile
export TMOUT=600 //添加此行使用SU切换用户身份
2.使用su切换用户身份 格式:su [-] 用户名 [-] 区别 :
使用:相当于 - -login,表示使用目标用户的登录shell环境,工作目录,PATH
变量等
不使用: 保持原有的用过环境不便
允许qq用户可以通过su命令切换为root身份,以便执行管理任务 禁止其他用户使用su命令切换用过身份
1>.将允许用户加入wheel组
[root@localhost ~]# gpasswd -a qq wheel
[root@localhost ~]# id qq //查看qq用户的附加组 2>. 修改PAM设置,添加pam_wheel认证 [root@localhost ~]# vi /etc/pam.d/su
auth required pam_wheel.so use_uid //去掉该行的#号 3>. 验证su权限 [qq@localhost ~]$ su -qq 口令:
su: 密码错误
3.使用sudo提升执行权限
1>./etc/sudoers配置文件--visudo
sudo命令提供一种机制,只需要预先在/etc/sudoers配置文件中进行授权,即可以允许特定用户以超级用户(或其他普通用户)的身份执行命令,而该用户不需知道root用户的密码(或其他用户)的密码。常见语法格式如下: 格式:user MACHINE=COMMANDS user: 授权指定用户
温县吧:www.wxhao.com
因篇幅问题不能全部显示,请点此查看更多更全内容