對于強大的linux來說,我們一定程度上都會認為是她秀堅強、穩定,同時也很有魅力。更多的如何使用她,而并沒有對她的安全篇有很多的涉足,抛磚引玉,簡單從常用的日志審計及pam使用者驗證塊做個執行個體應用。
1、記錄檔審計
系統的history再一定程度上可以告訴我們都幹了什麼,但對于這個多使用者的作業系統,從單個終端的記錄檔記錄方式已經不能滿足對 操作指令的一個審計工作。
也許會有人提示如下:
chattr +a ~/.bash_history
這種修改雖然可以避免删除.bash_history或重定向到/dev/null。
(題外:ln -sf /dev/null ~/.bash_history)
但是對于這種情況, 異常登入的使用者我不去操作 .bash_history的相關權限,直接執行histroy -c 上面的這些設定也就未果了。
下面借助 PROMPT_COMMAND 來實作操作指令及時記錄。
1)、在/etc/profile追加如下:
重讀 source /etc/profile即可生效.
mkdir -p /var/log/history/
touch /var/log/history/userhistory.log
chmod 002 /var/log/history/userhistory.log
chattr +a /var/log/history/userhistory.log
2)、借助logrotate實作日志切割。
具體的參數注解及 logrotate如何實作日志切割 參看
http://colynn.blog.51cto.com/5971950/1441436
2、pam使用者驗證(pam_tally)
因/etc/pam.d/login及 /etc/pam.d/sshd 都會include system-auth,
故直接配置system-auth, 對從 tty及終端登入均會生效,
版本5
版本6
建議:限制使用者包括 root, 使用自定義環境測試後再使用。
that's all.
![看了《小敏家》原著:才發現再婚的家庭,相愛的背後都是“算計”[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)