1、阻止普通用户关机
[root@svr1 ~]# cd /etc/security/console.apps/
[root@svr1 console.apps]# mkdir -m 700 locked
[root@svr1 console.apps]# mv poweroff locked/
2、设置普通用户密码各个时间:
-m密码最短有效时间
-M最长
-W:警告waring
-I:不活跃时间inactive
-E:失效时间 expire
设置普通用户下一次登陆必须改密码
[root@localhost ~]# chage -d 0 alice
3、清理非登录账号
删除冗余账号 ;
/sbin/nologin,禁止登录shell
4、帐号锁定操作
[root@localhost ~]# passwd -l alice
[root@localhost ~]# passwd -S alice
[root@localhost ~]# passwd -u alice
[root@localhost ~]# usermod -L alice
[root@localhost ~]# usermod -U alice
-l:锁定、-u解锁、-S查看状态、
-L:usermod下的锁定;
U:usermod的解锁
5、配置文件/etc/login.defs
对新建的用户有效
主要控制属性
• PASS_MAX_DAYS
• PASS_MIN_DAYS
• PASS_WARN_AGE
6、设置最大历史命令条目数
# vim /etc/profile ->改HISTSIZE参数
HISTSIZE
7、文件系统规划及挂载
mount挂载选项
-o noexec :不可执行
-o nosuid :
SUID:如果一个可执行文件对于所有用户有x权限。而且设置了suid,那么给文件在执行期间就具有了属主的的权限
8、合理挂载文件系统
/etc/fstab中的defaults是挂载选项,
可以添加ro(只读)等限制
9、文件加锁、解锁
把/etc/hosts变成绝对只读文件
把/etc/hosts变成只能追加内容的文件
# chattr +a /etc/hosts
# chattr +/- i/a
# lsattr /etc/hosts
+a:追加
+i:只读(一成不变的)
(change attribute + immutable)
(change attribute + append only)
10、tty终端控制
配置文件 /etc/sysconfig/init
ACTIVE_CONSOLES=/dev/tty[1-6]//默认允许使用1-6个tty终端
立即禁止普通用户登录
# touch /etc/nologin
默认是没有这个文件的,创建一个空文件之后,普通用户是无法登陆的,只允许root从指定的几个终端登录
配置文件 /etc/securetty
11、伪装终端登陆提示,防止系统版本信息泄漏
#vim /etc/issue//本地登陆提示信息
/etc/issue.net//网络登陆提示信息,如telnet
12、禁止Ctrl+Alt+Del重启
配置文件:/etc/init/control-alt-delete.conf
[root@svr1 ~]# vim /etc/init/control-alt-delete.conf
# start on control-alt-delete//注释掉此行即可
exec /sbin/shutdown -r now .. ..
13、GRUB引导控制
引导设密的作用:
-- 限制修改启动参数
-- 限制进入系统
密码设置方法:
-- passwd --md5 加密的密码串
-- 或者,passwd 明文密码串
[root@svr1 ~]# grub-md5-crypt//生成MD5加密的密码串
[root@svr1 ~]# vim /boot/grub/grub.conf
default=0
timeout=3
password --md5 $1$tt3gH1$8nZtL70J/Gv/dAaUm/1
title Red Hat Enterprise Linux (2.6.32-358.el6.x86_64)
root (hd0,0)
kernel /vmlinuz-2.6.32-358.el6.x86_64 .. ..
initrd /initramfs-2.6.32-358.el6.x86_64.img
15、初始化操作系统
# touch /.unconfigured #重启之后系统会要求你重新修改密码,配置ip地址
# reboot
# 重启之后/.unconfigured文件会消失
16、安全使用程序和服务
禁用非必要的系统服务
#ntsysv
关闭像NetworkManager这样的系统服务或者用chkconfig
# chkconfig NetworkManager off