1、加固SSH服务
修改/etxc/ssh/sshd.conf文件
①禁止root用户远程登录
②设置允许密码错误次数为6次
③设置SSH版本好为2
④重启SSH服务
2、禁用无用账号
①使用cat /etc/passwd 命令查看所有账号
注:/etc/passwd是存放用户的地方,简单学习一下。各个字段描述如下:
用户名: 密码 : uid : gid :用户描述:主目录:登陆shell
②使用passwd -l 禁用用户
此时登录,发现roy用户已经无法登录!
使用passwd - u 解锁用户
注意:在禁用账号时,要注意不要影响到系统业务的使用!
3、检查特殊账号
①检查密码为空的用户
awk -F: '($2=="")' /etc/shadow
密码为空的账户,要记得为其创建密码或者将其禁用,保障系统安全!
②检查uid为0的账户
awk -F: '($3==0)‘ /etc/passwd
uid为0的账户应该只有root!
4、账户口令策略
使用vi /etc/pam.d/system-auth命令,查看密码策略。
①添加第一条与第二条命令,使得在密码连续错误三次时,自动锁定账户,仅能用 root用户解锁!
修改配置文件,添加autu required pam_tally.so onerr=fail deny=3 unlock_time=30
使用faillog -u 用户名 -r 为用户解锁!
使用账户锁定策略需谨慎,而且账户锁定策略对于root用户是无效的!
②修改用户设置,包括密码使用时间(最长时间&最短时间)过期日期以及过期前提示。
修改配置文件 vi /etc/login.defs ,设置全体用户的密码过期时间等
或者使用chage 命令单独修改单用户配置
chage -m (最短时间) -M (最长时间) -E (过期时间) -W (过期前X天提示) 用户名
③增加密码复杂度要求
要求密码中至少要有数字、大写字母、小写字母、特殊字符各一位以上,并且要求密码长度至少为8位。
4、为Linux引导器添加密码
使用 cat /etc/grub.conf | grep password 命令查看是否为grub引导器设置了密码。
若没有设置的话,则为其添加密码
添加Password=xxx选项
在进入系统引导时输入e 再使用p确认引导,此时提示需要输入密码
5、限制能够su到root 的用户
vi /etc/pam.d/su 编辑配置文件,添加 auth required pam_wheel.so group=XXX
限制除了XXX的成员以外,其他用户不能su 到root
貌似 wheel.so 后面所跟的内容也可以改成别的东西,暂时没测试,以后补上。
6、关闭不需要运行的服务
首先使用 who -r 查看当前的运行级别
然后,使用 chkconfig -list 服务名 查看某一服务在各个级别的运行情况
如果要调整某一个服务在某一级别下的运行情况的话,使用:
chkconfig --lever 运行级别 服务名 运行情况(包括 on、 off 、reset 、等
7、限制carl+alt+del命令
修改配置文件 /etc/inittab 防止使用 ctrl+alt+del 重启系统
将此条命令前加上#号注释
8、控制NFS共享
使用命令 exportfs 查看linux系统已经开启的共享。
通过编辑 /etc/exports文件控制NFS共享
9、设置默认的UMASK值,增强安全性
UMASK值表示某一用户创建的新文件对于其他用户的权限情况,其他用户的权限为777-UMASK值
默认情况下,使用umask命令查看已经设置生效的umask值
若要修改UMASK值,则使用命令 umask XXX ,XXX为你想要修改的UMASK值
10、设置BASH保存的历史命令数
编辑/etc/profile 文件 中的HISTFILESIZE 字段 与 HISTSIZE 字段 设置保存的历史命令数
HISTFILESIZE 字段没有找到....
11、设置用户超时时间
编辑 /etc/profile 文件 添加TMOUT=XX字段
设置用户超时时间为XX秒
重新登录后生效!
12、日志系统设置
查看文件 /etc/syslog.conf
系统日志(默认)/var/log/messages
cron 日志(默认)/var/log/cron
安全日志(默认)/var/log/secure
可以修改日志文件保存的位置
未完待续....如有任何错误请指出 ☻