等保2.0 测评 linux服务器加固 基本安全配置手册

1.删除系统特殊的的用户帐号：

禁止所有默认的被操作系统本身启动的且不需要的帐号，当你第一次装上系统时就应该做此检查，Linux提供了各种帐号，你可能不需要，如果你不需要这个帐号，就移走它，你有的帐号越多，就越容易受到攻击。

#为删除你系统上的用户，用下面的命令：

[root@c1gstudio]# userdel username

#批量删除方式

#这里删除"adm lp sync shutdown halt mail news uucp operator games gopher ftp "账号

#如果你开着ftp等服务可以把ftp账号保留下来。

for i in adm lp sync shutdown halt mail news uucp operator games gopher ftp ;do userdel $i ;done

2.删除系统特殊的组帐号

[root@c1gstudio]# groupdel groupname

#批量删除方式

for i in adm lp mail news uucp games dip pppusers popusers slipusers ;do groupdel $i ;done

3.用户密码设置

安装linux时默认的密码最小长度是5个字节，但这并不够，要把它设为8个字节。修改最短密码长度需要编辑login.defs文件

#vi /etc/login.defs

PASS_MAX_DAYS  99999  ##密码设置最长有效期（默认值）

PASS_MIN_DAYS  0    ##密码设置最短有效期

PASS_MIN_LEN  5    ##设置密码最小长度，将5改为8

PASS_WARN_AGE  7    ##提前多少天警告用户密码即将过期。

然后修改Root密码：

#passwd root

New UNIX password:

Retype new UNIX password:

passwd: all authentication tokens updated successfully.

4.修改自动注销帐号时间

自动注销帐号的登录，在Linux系统中root账户是具有最高特权的。如果系统管理员在离开系统之前忘记注销root账户，那将会带来很大的安全隐患，应该让系统会自动注销。通过修改账户中“TMOUT”参数，可以实现此功能。TMOUT按秒计算。编辑你的profile文件（vi /etc/profile）,在"HISTSIZE="后面加入下面这行：

TMOUT=300

300，表示300秒，也就是表示5分钟。这样，如果系统中登陆的用户在5分钟内都没有动作，那么系统会自动注销这个账户。

5.限制Shell命令记录大小

默认情况下，bash shell会在文件$HOME/.bash_history中存放多达500条命令记录(根据具体的系统不同，默认记录条数不同)。系统中每个用户的主目录下都有一个这样的文件。在此笔者强烈建议限制该文件的大小。
您可以编辑/etc/profile文件，修改其中的选项如下:

HISTFILESIZE=30或HISTSIZE=30

#vi /etc/profile

HISTSIZE=30

source /etc/profile

6.注销时删除命令记录

编辑/etc/skel/.bash_logout文件，增加如下行:

rm -f $HOME/.bash_history
这样，系统中的所有用户在注销时都会删除其命令记录。
如果只需要针对某个特定用户，如root用户进行设置，则可只在该用户的主目录下修改/$HOME/.bash_history文件，增加相同的一行即可。

但是每次退出前都要重新加载文件：

source /etc/skel/.bash_logout

然后: exit

注释：

/etc/skel 是一个目录，而不是一个文件。在Linux系统中，它是"骨架目录"（skeleton directory）的缩写。

骨架目录（skeleton d