[系統賬号清理]
将非登入使用者的Shell設為/sbin/nologin
如bin,daemon,adm,lp,mail,nobody,apache,mysql,dbus,ftp,gdm,haldaemon等
鎖定長期不使用的賬号
usermod -L abc //鎖定賬号
usermod -U abc //解鎖賬号
passwd -S //檢視賬号狀态
删除無用的賬号
如new,uucp,games,gopher等
鎖定賬号檔案passwd、shadow
chattr +i /etc/passwd /etc/shadow //鎖定檔案
chattr -i /etc/passwd /etc/shadow //解鎖檔案
lsattr /etc/passwd /etc/shadow //檢視鎖定狀态
[密碼安全控制]
設定密碼有效期
要求使用者下次登入時修改密碼
[指令曆史限制]
減少記錄的指令條數
登出時自動清空指令曆史
[終端自動登出]
閑置600秒後自動登出
[su用途及用法]
用途:Substitute User,切換使用者
格式:su - 目标使用者
"-"等同于"--login"或"-l",表示切換後進入目标使用者的登入shell環境
密碼驗證
root → 任意使用者, 不驗證密碼
普通使用者 → 其他使用者,驗證目标使用者的密碼
限制使用su指令的使用者
啟用pam_wheel認證子產品
将允許使用su指令的使用者加入wheel組
檢視su操作記錄
安全日志檔案:/var/log/secure
[sudo用途及用法]
用途:以其他使用者身份(如root)執行授權的指令
用法:sudo 授權指令
初次執行sudo指令時,驗證目前使用者的密碼
不需驗證目标使用者的密碼
配置sudo授權
visudo 或者 vi /etc/sudoers
記錄格式:使用者 主機名清單=指令程式清單
檢視sudo操作記錄
需啟用 Defaults logfile 配置
預設日志檔案:/var/log/sudo
查詢授權的sudo操作
sudo -l
[開關機安全控制]
調整BIOS引導設定
将第一引導裝置設為目前系統所在硬碟
禁止從其他裝置(CD光牒、U盤、網絡)引導系統
将安全級别設為setup,并設定管理者密碼
禁用重新開機熱鍵Ctrl+Alt+Del
避免因使用者誤操作導緻重新開機
GRUB菜單限制
未經授權禁止修改啟動參數
未經授權禁止進入指定系統
密碼設定方式(grub.conf)
password 明文密碼串
password --md5 加密密碼串
密碼記錄的位置
全局部分(第一個“title”之前)
系統引導部分(每個“title”部分之後)
GRUB限制的實作
使用grub-md5-crypt獲得加密字串
修改grub.conf檔案,添加密碼記錄
修改系統登入提示
本機登入提示:/etc/issue
網絡登入提示:/etc/issue.net
減少開放終端個數
限制root隻在安全終端登入
安全終端配置:/etc/securetty
禁止普通使用者登入
建立/etc/nologin檔案
删除nologin檔案或重新開機後即恢複正常