在互联网环境中,大部分服务器是通过远程登录的方式来进行管理的,而本地引导和终端登录过程往往容易被忽视,从而留下安全隐患。特别是当服务器所在的机房环境缺乏严格、安全的管控制度时,如何防止其他用户的非授权介入就成为必须重视的问题。
1.2.1 开关机安全控制
对于服务器主机,其物理环境的安全防护是非常重要的,不仅要保持机箱完好、机柜锁闭,还要严格控制机房的人员进出、硬件设备的现场接触等过程。在开关机安全控制方面,除了要做好物理安全防护以外,还要做好系统本身的一些安全 措施。
2.禁止Ctrl+ Alt+ Del快捷键重启
快捷键重启功能为服务器的本地维护提供了方便,但对于多终端登录的Linux服务器,禁用此功能是比较安全的选择。在CentOS 7中,执行cat /etc/inittab 命令可以得知Ctrl + Alt+Del快捷键功能由/usr/ib/systemd/system/ctrl-alt-del. target 文件进行设置。查看/usr/ib/systemd/system/ctrl-alt- -del. target 文件发现, ctrl-alt-del. target 是reboot . target文件的软链接文件。
在不影响reboot.target文件的前提下执行以下命令即可禁用Ctrl+Alt+Del快捷键功能。
3. 限制更改GRUB引导参数
在之前的课程中介绍过通过修改GRUB引导参数,对一些系统问题进行修复。从系统安全的角度来看,如果任何人都能够修改GRUB引导参数,对服务器本身显然是一个极大的威胁。 为了加强对引导过程的安全控制,可以为GRUB菜单设置一个密码,只有提供正确的密码才被允许修改引导参数。为GRUB菜单设置的密码建议采用“grub2-mkpasswd-pbkdf2” 命令生成, 表现为经过PBKDF2算法加密的字符串,安全性更好。生成密码后在/etc/grub . d/00_ header配置文件中,添加对应的用户、密码等配置,具体添加内容如下所示。
使用grub2-mkconfig 命令生成新的grub. cfg配置文件。
通过上述配置,重新开机进入GRUB菜单时,按E键将无法修改引导参数。若要获得编辑权限,必须根据提示输入正确的GRUB密码
1.2.2终端及登录控制
在Linux服务器中,默认开启了六个tty终端,允许任何用户进行本地登录。关于本地登录的安全控制,可以从以下几个方面着手。
1.禁止root用户登录
在Linux系统中,login 程序会读取/etc/securetty文件,以决定允许root用户从哪些终端(安全终端)登录系统。若要禁止root用户从指定的终端登录,只需从该文件中删除或者注释掉对应的行即可。例如,若要禁止root用户从tty5、tty6 登录,可以修改/etc/securetty 文件,将tty5. tty6 行注
释掉
- 禁止普通用户登录
当服务器正在进行备份或调试等维护工作时,可能不希望再有新的用户登录系统。这时候只需要简单地建立/etc/nologin文件即可。login 程序会检查/etc/nologin文件是否存在,如果存在,则拒绝普通用户登录系统(root 用户不受限制)
此方法实际.上是利用了shutdown延迟关机的限制机制,只建议在服务器维护期间临时使用。当手动删除/etc/nologin文件或者重新启动主机以后,即可恢复正常。
976
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
