一、开关机安全控制
1)调整BIOS将第一引导设备设为当前系统所在硬盘
2)调整BIOS禁止从其他设备(光盘、U盘、网络)引导系统
3)调整BIOS将安全级别设为setup,并设置管理员密码
4)禁用重启热键Ctrl+Alt+Del,避免因用户误操作导致重启
~] #vim /etc/init/control-alt-delete.conf(注解掉最后两行)
二、Grub菜单设置
Grub菜单限制:
未经授权禁止修改启动参数(比如进入单用户模式,修改root密码)
未经授权禁止进入指定系统(多系统时)
密码设置方式(/boot/grub.conf)
password 明文密码串
password --md5 加密密码串
密码记录的位置
全局部分(第一个“title”之前)
系统引导部分(每个“title”部分之后)
Grub限制的实现
使用~] #grub-md5-crypt命令交互输入密码,获得加密字串
修改/boot/grub.conf文件,在对应的密码记录位置添加password --md5 加密字串
三、终端登录安全控制
1)减少开放终端个数,需要修改两个文件,并且两个文件修改的tty个数要保持一致,改完重启生效。(默认打开6个tty终端)
~] #vim /etc/init/start-ttys.conf
例如修改
env ACTIVE_CONSOLES=/dev/tty[1-6] 为 env ACTIVE_CONSOLES=/dev/tty[456]
~] #vim /etc/sysconfig/init
例如修改
ACTIVE_CONSOLES=/dev/tty[1-6] 也为 tty[456]
2)限制root只在安全的终端登录,修改/etc/securetty注释掉无用的tty即可(批量注释方法:按ctrl+v进入可视化模块,按j向下选择要注释的行,按k向上选择,再按I插入,按#,然后esc)
3)禁止普通用户登录:touch一个名为nologin的空文件即可,即建立/etc/nologin文件,删除nologin文件即恢复正常。