Linux 系统安全常规优化
基本安全措施 1. 禁用系统中不适用的账户
2. 确认程序或服务用户的登录shell不可用
3. 限制用户的密码有效(最大天数)
(针对以后新建用户)
(针对现有个体用户) 4. 指定用户在下次登录时修改密码
5. 限制用户密码最小长度
6. 限制记录命令历史的条数
并设置当前用户在注销后自动清空历史命令记录
7. 设置闲置超时自动注销终端
使用su切换用户身份 1. 切换普通用户
(当使用root用户切换其他用户的时候不需要输入密码) 2. 限制使用su用户
使用sudo提升权限 1. 授权用户zhangsan可以以root权限执行ifconfig命令
2. 使用别名提升权限
3. 授权wheel组的用户不需验证密码即可执行所有命令
4. 为sudo启用日志功能,将记录写入/var/log/sudo文件中
(同样在visudo中写入)
5. 查看被授权的命令
文件系统层的安全优化 1. 合理规划系统分区 /boot 该目录中包含系统内核,grub程序等关键性的引导文件.如需适应以后对内核的升级或相关扩展性需求,分区大小建议在200MB以上. /home 该目录是用户默认宿主目录所在的上一级文件夹,若服务器用户数量较多,通常无法预知每个用户所使用的空间大小 /var 保存日志文件,运行状态文件,用户邮箱目录等 /opt 用于安装服务器的附加应用程序及其他可选空间,方便扩展使用 2. 通过挂载选项禁止执行set位权限,二进制程序
3. 锁定不希望更改的系统文件
(i 完全锁定 a 可以追加 接触使用 – ) 应用程序和服务 1. 关闭不必要的应用程序 2. 禁止普通用户执行init.d目录中的脚本
3. 禁止普通用户执行控制台程序
使用consolehel[er辅助工具执行 4. 取出程序文件中非的set-udi或者set-gid
系统引导和登录安全优化
(进入修复模式的时候需要输入)
(使用加密字符串) 终端及登录控制 1. 禁止普通用户登录
2.控制台开放
(禁用tty4)
(快速生效) 3. 控制root 用户登录的tty终端
4. 更改系统登录提示
5. 使用pam_access认证控制用户登录地点
- : ALL EXCEPT root : tty1 禁止除root以外用户登录tty1 格式: 拒绝/允许(- ) : 用户 : 来源
|
||
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |