linux安全限制
作者 佚名技术
来源 Linux系统
浏览
发布时间 2012-04-06
| tation60 init.d]# ll | head -n 2 total 644 -rwxr-x--- 1 root root 1566 Jun 8 2009 acpid umask至少为027,最好是077 [root@station60 ~]# grep umask /etc/bashrc umask 077 umask 077 [root@station60 ~]# . /etc/bashrc [root@station60 ~]# umask 0077 [root@station60 ~]# touch 3.txt [root@station60 ~]# ll 3.txt -rw------- 1 root root 0 Apr 8 00:11 3.txt 检查系统是否最小化安装,启动的运行级别为3 查看/etc/pam.d/su是否包含以下两行 auth sufficient pam_rootok.so # Uncomment the following line to implicitly trust users in the "wheel" group. #auth sufficient pam_wheel.so trust use_uid # Uncomment the following line to require a user to be in the "wheel" group. auth required pam_wheel.so use_uid //上面的注释已经说的很清楚了,没有注释下面这一行,那么要su到别的用户就  在wheel组中[root@station60 pam.d]# gpasswd -a oracle wheel Adding user oracle to group wheel [root@station60 pam.d]# id oracle uid=500(oracle) gid=500(oracle) groups=500(oracle),0(root),10(wheel) context=system_u:system_r:unconfined_t [root@station60 pam.d]# id zhang3 uid=501(zhang3) gid=501(zhang3) groups=501(zhang3) context=system_u:system_r:unconfined_t [root@station60 pam.d]# su - zhang3 [zhang3@station60 ~]$ su - root //以下密码输入都是正确的 Password: su: incorrect password [zhang3@station60 ~]$ su - oracle Password: su: incorrect password [zhang3@station60 ~]$ su - oracle Password: su: incorrect password [zhang3@station60 ~]$ su - oracle Password: su: incorrect password [zhang3@station60 ~]$ [oracle@station60 ~]$ su - oracle Password: [oracle@station60 ~]$ su - root Password: [root@station60 ~]# 操作指南 1.本地登录用户参考配置操作 #cd /etc/profile.d 执行 #vi autologout.sh 加入如下内容: TMOUT=600 readonly TMOUT export TMOUT 保存退出,系统将在用户闲置10分钟后自动注销. 2.远程登录用户参考配置操作 #vi /etc/ssh/sshd_config 将以下内容设置为: ClientAliveInterval 600 ClientAliveCountMax 0 以上表示10分钟闲置后,自动注销并结束会话. 检测方法 1、判定条件 查看帐号超时是否自动注销; 2、检测操作 cat /etc/ssh/sshd_config 检查其中两个参数设置: ClientAliveInterval 600 ClientAliveCountMax 0 (2)执行:awk -F: ''($3 == 0) { print $1 }'' /etc/passwd 返回值包括“root”以外的条目,说明有其他超级用户,低于安全要求. 2、检测操作 执行:awk -F: ''($3 == 0) { print $1 }'' /etc/passwd 返回值包括“root”以外的条目,说明有其他超级用户; /etc/securetty 文件设置root登陆的tty和vc(虚拟控制台)设备./etc/securetty 文件被login程序读 (通常 /bin/login).它的格式是允许的tty和vc列表,注释掉或不出现的设备,不允许root登陆. vc/1 #vc/2 #vc/3 #vc/4 #vc/5 #vc/6 #vc/7 #vc/8 #vc/9 #vc/10 #vc/11 tty1 #tty2 #tty3 #tty4 #tty5 #tty6 #tty7 #tty8 #tty9 #tty10 #tty11 root只能从tty1和vc登陆.建议仅允许root从一个tty或vc登陆,如果需要更多设备登陆,使用su命令转换为root. #!/bin/sh # export file=/root/Desktop/Look_Here echo " |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
你可能对下面的文章感兴趣
关于linux安全限制的所有评论
