基本安全措施
1. 禁用系统中不适用的账户
2. 确认程序或服务用户的登录shell不可用
3. 限制用户的密码有效(最大天数)
(针对以后新建用户)
(针对现有个体用户)
4. 指定用户在下次登录时必须修改密码
5. 限制用户密码最小长度
6. 限制记录命令历史的条数
并设置当前用户在注销后自动清空历史命令记录
7. 设置闲置超时自动注销终端
使用su切换用户身份
1. 切换普通用户
(当使用root用户切换其他用户的时候不需要输入密码)
2. 限制使用su用户
使用sudo提升权限
1. 授权用户zhangsan可以以root权限执行ifconfig命令
2. 使用别名提升权限
3. 授权wheel组的用户不需验证密码即可执行所有命令
4. 为sudo启用日志功能,将记录写入/var/log/sudo文件中
(同样在visudo中写入)
5. 查看被授权的命令
文件系统层的安全优化
1. 合理规划系统分区
/boot 该目录中包含系统内核,grub程序等关键性的引导文件。如需适应以后对内核的升级或相关扩展性需求,分区大小建议在200MB以上。
/home 该目录是用户默认宿主目录所在的上一级文件夹,若服务器用户数量较多,通常无法预知每个用户所使用的空间大小
/var 保存日志文件,运行状态文件,用户邮箱目录等
/opt 用于安装服务器的附加应用程序及其他可选空间,方便扩展使用
2. 通过挂载选项禁止执行set位权限,二进制程序
3. 锁定不希望更改的系统文件
(i 完全锁定 a 可以追加 接触使用 – )
应用程序和服务
1. 关闭不必要的应用程序
2. 禁止普通用户执行init.d目录中的脚本
3. 禁止普通用户执行控制台程序
使用consolehel[er辅助工具执行
4. 取出程序文件中非必须的set-udi或者set-gid
系统引导和登录安全优化
(进入修复模式的时候需要输入)
(使用加密字符串)
终端及登录控制
1. 禁止普通用户登录
2.控制台开放
(禁用tty4)
(快速生效)
3. 控制root 用户登录的tty终端
4. 更改系统登录提示
5. 使用pam_access认证控制用户登录地点
- : ALL EXCEPT root : tty1 禁止除root以外用户登录tty1
格式:
拒绝/允许(- + ) : 用户 : 来源
\
本文转自 郑伟 51CTO博客,原文链接:http://blog.51cto.com/zhengweiit/376424