一、不用root使用者登入,以普通使用者通過sudo管理授權
普通使用者涉及到超級權限的運用,管理者如果想讓該普通使用者通過su來切換到root獲得超級權限,就必須把root權限密碼告訴使用者。但是如果普通使用者有了root權限,可以通過root權限做任何事,這會對系統的安全造成一定的威脅
sudo是一種權限管理機制,管理者可以授權于一些普通使用者去執行一些root執行的操作,而該普通使用者而不需要知道root的密碼,它依賴于/etc/sudoers這個檔案,可以授權于某個普通使用者在主機上能夠以管理者的身份執行什麼樣的管理指令,而且是有限的。這個檔案相當于就是一個授權表
執行個體:visudo(或vi /etc/sudoers)
<a href="https://s5.51cto.com/oss/201710/31/6e0c61671b9be7170c461f4ba443f0a1.png-wh_500x0-wm_3-wmp_4-s_4116329448.png" target="_blank"></a>
文法
user MACHINE=COMMANDS
user想要配置設定的使用者
MACHINE希望使用者管理的機器
COMMANDS希望使用者擁有哪些權限(權限以指令為機關)
root ALL=(ALL) ALL
括号裡表示允許該使用者以哪個使用者的權限去做事
此時的Ian普通使用者就相當于root了。
但普通使用者Ian在執行root操作時,必須得在指令前面加sudo,不然還是不能執行的。執行root操作時,需要的密碼也不再是root超級使用者的密碼,而是普通使用者的密碼。
二、更改ssh服務的遠端連接配接端口,禁止root使用者遠端登入。
linux遠端連接配接預設端口port 22
配置檔案
三、定時自動更新伺服器時間,使其與網際網路時間同步
四、配置yum更新源,從國内更新源下載下傳安裝軟體包
五、關閉selinux及iptables(如果有外網ip開啟)
六、調整檔案描述符的數量,程序及檔案的打開都會消耗檔案描述符
七、定時自動清理郵件目錄垃圾檔案,防止inodes節點占滿
八、精簡并保留必要的開機自啟動服務
九、linux核心參數優化/etc/sysctl.conf , 然後執行sysctl -p 生效。
十、更改字元集使其支援中文,但還是建議使用英文,防止出現亂碼問題
十一、鎖定關鍵系統檔案,防止提權篡改
十二、清空/etc/issue /etc/issue.net ,去除系統及核心版本登陸前的螢幕顯示
十三、清除多餘的系統賬号
十四、為grub菜單加密
本文轉自liujing0751CTO部落格,原文連結:http://blog.51cto.com/13281352/1977825 ,如需轉載請自行聯系原作者