最終要達到的安全要求:
1.禁止非授權使用者使用系統啟動盤從CD光牒引導系統。
2.禁止非授權使用者在引導伺服器時通過單使用者模式進入系統。
3.防止普通使用者擷取GRUB密碼、防止grup.conf檔案被無意中修改或删除。
4.在伺服器本地僅開放tty1、tty2、控制台終端,限制root使用者隻能從tty1登入,其他普通使用者隻能從tty2登入。
5.屏蔽Ctrl+Alt+Del熱鍵重新開機功能。
6.所有使用者登入到shell後,預設超過五分鐘沒有操作則自動登出。
實施步驟:
1.在系統的BIOS中設定取消CD光牒優先啟動,并設定setup密碼:
<a target="_blank" href="http://blog.51cto.com/attachment/201009/203257764.jpg"></a>
<a target="_blank" href="http://blog.51cto.com/attachment/201009/194420282.png"></a>
<a target="_blank" href="http://blog.51cto.com/attachment/201009/194450977.png"></a>
2.使用grub-md5-crypt指令生成加密的密碼,并添加相應設定至grub.conf檔案:
<a target="_blank" href="http://blog.51cto.com/attachment/201009/204704618.jpg"></a>
<a target="_blank" href="http://blog.51cto.com/attachment/201009/204719651.jpg"></a>
3.将grub.conf鎖定,防止無意中修改或删除:
<a target="_blank" href="http://blog.51cto.com/attachment/201009/205105412.jpg"></a>
4.設定在伺服器本地僅開放tty1、tty2兩個終端,root隻能從tty1登入,其他普通使用者隻用能從tty2登入:
1)修改/etc/inittab檔案,注釋掉tty3-tty6:
<a target="_blank" href="http://blog.51cto.com/attachment/201009/205330559.jpg"></a>
2)修改/etc/securetty檔案,删除tty2-tty6:
3)修改/etc/pam.d/login,添加如下設定:
<a target="_blank" href="http://blog.51cto.com/attachment/201009/205545570.jpg"></a>
4)修改/etc/security/access.conf檔案,添加如下設定:
<a target="_blank" href="http://blog.51cto.com/attachment/201009/205901117.jpg"></a>
5.修改/etc/inittab檔案,注釋Ctrl+Alt+Del熱鍵重新開機功能:
<a target="_blank" href="http://blog.51cto.com/attachment/201009/210154411.jpg"></a>
6.修改/etc/profile檔案,設定使用者超過5分鐘沒有操作自動登出:
<a target="_blank" href="http://blog.51cto.com/attachment/201009/210406561.jpg"></a>
通過以上的設定,可以在一定程度上保證linux伺服器的安全!
本文轉自 kk5234 51CTO部落格,原文連結:http://blog.51cto.com/kk5234/391822,如需轉載請自行聯系原作者
![linux-svn解除安裝與安裝[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)