整理linux网关与安全第一章

作者佚名技术来源 Linux系统浏览发布时间 2012-03-24

******锁定解锁用户 1：passwd -l user passwd -u user 2：usermod -L user usermod -U user 3：vim /etc/shadow 在用户前面加上!即可 *******用户禁止登陆 1:passwd -s /sbin/nologin user 2:vim /etc/passwd 在用户后面指定shell 即可 ********限制用户密码最大有效期限 1:vim /etc/login.defs 修改PASS_MAX_DAYS 30 只对修改后创建的用户有效 2:chage -M 30 user 只对已经存在的用户有效果 ********指定用户下次登陆时候

修改密码 1:chage -d 0 user 2:vim /etc/shadow 修改用户：后面的三列为0 *******************通过pam机制修改密码最小长度 1:vim /etc/pam.d/system-auth 中的PASSWD列添加minlen=10 （并不直接带表用户设置密码长度） **************限制记录命令历史条数 1：vim /etc/profile HISTSIZE=100 默认1000条 2：echo "history -c" >> ~/.bash_logout 用户注销登陆后自动清空命令历史记录 ****************闲置超时自动注销终端 1:vim /etc/profile 添加全局超时自动注销 export TMOUT=600 ************* su 命令 1:su user 切换用户但不切换环境变量（即可以使用ROOT命令） 2:su - user 切换用户和环境变量 ***************只允许特定的用户使用su命令 1:vim /etc/pam.d/su 去掉第6行的注释 2:gpasswd -a user wheel 将允许的用户添加到wheel组-d 删除 *********************** sudo 提升其他用户执行权限 1：使用之前先chmod 777 /etc/sudoers 然后vim 格式： user ALL=NOPASSWD:NETWO***NG user ALL(来自那)=NETWO***NG（做什么NETWO***NG为系统默认的模板） NOPASSWD:ALL （不需要密码就可以执行suto） 13 行允许从哪些主机过来 %user 可用组名 =/usr/bin/passwd [A-z]*,!/usr/bin/passwd root 允许改任何人密码除了ROOT 结合which 查找命令绝对路径 2：使用方法 sudo /usr/bin/passwd user 即可 ******************************让指定分区不能执行程序 1:vim /etc/fstab 在指定分区后面添加 defauts,noexe 保存即可 mount -a 从新读取 mount -o noexec /dev/sdb1 /boot 挂载的时候添加不可执行属性 *************************文件的特殊属性查看特殊属性 lsattr /etc/passwd 添加特殊属性 chattr i /etc/passwd 不能被修改,无法被删除,重命名,硬链接 -i chattr a /etc/passwd 只可追加不可删除 -a
************************************************关闭不需要的系统服务
ntsysv chkconfig

******************************************禁止普通用户执行init.d目录中的脚本
chmod -R 750 /etc/init.d
-R为递归继承

*******************************************禁止普通用户执行控制台程序
/etc/security/console.apps/下的程序普通用户都可以执行删除不用的程序如reboot poweroff half

*******************************************去除程序文件中非

的权限
find / -type f -perm 6000 -exec ls -lh {} \;
-type 类型 f文件
suid 4 sgid 2 set粘贴位1

上例可以将找到的系统默认文件重定向到新文件中定时对比发现可疑文件没用的可以直接删除掉
有用的可以 chmod a-s /xxx/xxx.xxx 去掉suid sgid 权限

SHELL脚本
#! /bin/bash
a=/etc/a
for i in `find / -type f -perm 6000`
do
grep -F ''$i'' $a >/dev/null
[ $? -ne 0 ] && ls -lh $i
done

**************************************greb引导菜单加密
vim /boot/grub/grub.conf
明文加密 title上添加password 123
密文加密

运行grub-md5-crypt
然后打开文件添加 password --md5 粘贴上上一步出来的密文

*********************************************即时禁止普通用户登录
touch /etc/nologin 建立文件即可（root不受限制）

*******************************************控制服务器开放的TTY终端
vi /etc/inittab
去掉 TTY 的注释
刷新 init q 即可

*****************************************控制允许root用户登录的TTY终端
只对root有效 vim /etc/securetty
去掉相应行或者注释

********************************************更改系统登录提示隐藏内核版本信息
对本地登录显示/etc/issue
对网络登录显示/etc/issue.net

**********************************************使用pam_access 认证控制用户登录地点
允许 -拒绝
用户 all所有组名也行
来源 tty1 ip/24 表示
例：- : root execpt yangjun : 192.168.0.1/24 192.168.0.2/24
拒绝root除了yangjun的用户可以从192.168.0.1/24 或者从192.168.0.2/24 登录到系统中

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!

1 2 下一页

分享到：更多

你可能对下面的文章感兴趣

上一篇: rsync使Linux客户端同步windwos服务器文件下一篇: Linux vsftpd编译安装和配置允许本地用户登录FTP

关于整理linux网关与安全第一章的所有评论

随机推荐