[系统账号清理]
将非登录用户的Shell设为/sbin/nologin
如bin,daemon,adm,lp,mail,nobody,apache,mysql,dbus,ftp,gdm,haldaemon等
锁定长期不使用的账号
usermod -L abc //锁定账号
usermod -U abc //解锁账号
passwd -S //查看账号状态
删除无用的账号
如new,uucp,games,gopher等
锁定账号文件passwd、shadow
chattr +i /etc/passwd /etc/shadow //锁定文件
chattr -i /etc/passwd /etc/shadow //解锁文件
lsattr /etc/passwd /etc/shadow //查看锁定状态
[密码安全控制]
设置密码有效期
要求用户下次登录时修改密码
[命令历史限制]
减少记录的命令条数
注销时自动清空命令历史
[终端自动注销]
闲置600秒后自动注销
[su用途及用法]
用途:Substitute User,切换用户
格式:su - 目标用户
"-"等同于"--login"或"-l",表示切换后进入目标用户的登录shell环境
密码验证
root → 任意用户, 不验证密码
普通用户 → 其他用户,验证目标用户的密码
限制使用su命令的用户
启用pam_wheel认证模块
将允许使用su命令的用户加入wheel组
查看su操作记录
安全日志文件:/var/log/secure
[sudo用途及用法]
用途:以其他用户身份(如root)执行授权的命令
用法:sudo 授权命令
初次执行sudo命令时,验证当前用户的密码
不需验证目标用户的密码
配置sudo授权
visudo 或者 vi /etc/sudoers
记录格式:用户 主机名列表=命令程序列表
查看sudo操作记录
需启用 Defaults logfile 配置
默认日志文件:/var/log/sudo
查询授权的sudo操作
sudo -l
[开关机安全控制]
调整BIOS引导设置
将第一引导设备设为当前系统所在硬盘
禁止从其他设备(光盘、U盘、网络)引导系统
将安全级别设为setup,并设置管理员密码
禁用重启热键Ctrl+Alt+Del
避免因用户误操作导致重启
GRUB菜单限制
未经授权禁止修改启动参数
未经授权禁止进入指定系统
密码设置方式(grub.conf)
password 明文密码串
password --md5 加密密码串
密码记录的位置
全局部分(第一个“title”之前)
系统引导部分(每个“title”部分之后)
GRUB限制的实现
使用grub-md5-crypt获得加密字串
修改grub.conf文件,添加密码记录
修改系统登录提示
本机登录提示:/etc/issue
网络登录提示:/etc/issue.net
减少开放终端个数
限制root只在安全终端登录
安全终端配置:/etc/securetty
禁止普通用户登录
建立/etc/nologin文件
删除nologin文件或重启后即恢复正常