说明:因工作需要,特此写本博文,方便以后查阅。如文中有问题之处,望指点,拍砖请轻拍,谢谢合作。
/***************************************************************************************
*加固系统:ubuntu14.04
****************************************************************************************/
一、删除UID为0的非root用户
加固步骤:
1、执行备份
root@xxx:/# cp –p /etc/passwd /etc/passwd.bak
root@xxx:/# cp –p /etc/shadow /etc/shadow.bak
root@xxx:/# cp –p /etc/group /etc/group.bak
2、执行命令删除UID为0的用户
root@xxx:/# userdel username
注:/etc/passwd文件中第三列为0的用户只能为root用户。
二、文件账号权限设置
条件:用root外的其它帐户登录,对重要文件和目录进行删除、修改等操作不能够成功即为符合。
加固步骤:
1、将文件权限设置为/etc/passwd权限为644,/etc/shadow权限为400,/etc/group权限为644。
2、执行命令
root@xxx:/# chmod 644 /etc/passwd
root@xxx:/# chmod 400 /etc/shadow
root@xxx:/# chmod 644 /etc/group
三、删除和锁定无关账号
加固步骤:
1、执行备份
root@xxx:/# cp -p /etc/passwd /etc/passwd.bak
root@xxx:/# cp -p /etc/shadow /etc/shadow.bak
2、锁定无关帐户:
方法一:
root@xxx:/# vim /etc/shadow
在需要锁定的用户名的密码字段前面加!,如test:!$1$QD1ju03H$LbV4vdBbpw.MY0hZ2D/Im1:14805:0:99999:7:::
方法二:
root@xxx:/# passwd -l test
3、将/etc/passwd文件中的shell域设置成/bin/false。
注:主要操作一些帐户不存在或者它们的密码字段为!!用户。
四、口令锁定策略
条件:帐户被锁定,不再提示让再次登录
加固策略:
1、执行备份:
root@xxx:/# cp -p /etc/pam.d/common-auth /etc/pam.d/common-auth.bak
2、修改策略设置:
root@xxx:/# vim /etc/pam.d/common-auth
增加auth required pam_tally2.so deny=6 onerr=fail no_magic_root unlock_time=120到第二行,保存退出