>>>Centos账户安全
对Centos的加固首先要控制用户的权限,用户权限主要涉及到/etc下的/passwd,/shadow和/group三个文件
/passwd文件主要是存储了一些用户信息:
文件每一行以:分隔了7列,分别代表了“用户名称:密码占位符:账户UID:账户GID(组):账户附加信息(全名):该账户的home目录:该账户登陆后执行的命令(/sbin/nologin表示该账户不能登录系统)”
/shadow文件存储的是用户加密后的登录密码
!!符号说明该用户被锁定,不能登录系统
/group文件存储的是用户组的信息:
/group文件也是以:分隔开,每列的含义是“组名(不能重复):口令(一般为空x):GID(组号):组内用户列表(user1,user2,user3...)”
加固方法:
1.先在root权限下通过cat查看三个文件夹,获取该服务器的用户权限,在/etc/passwd文件中,若第三列(uid)为0,则表示该用户为surper user
2.对/etc/passwd和/etc/shadow文件进行备份:cp /etc/passwd /etc/passwd_back
3.修改用户权限,保证root用户是唯一的surper user,使用命令锁定不必要的用户:passwd -l <用户名>,解锁用户:passwd -u <用户名>
建议:将备份的文件存储到U盘之类的存储介质中,一旦系统出现和用户相关的故障时,可以及时用原文件替换:mv /etc/passwd_back /etc/passwd
>>>系统口令策略
加固方法:
1.先查看密码策略的设置:cat /etc/login.defs | grep PASS
2.把原文件做一个备份:cp -p /etc/login.defs /etc/login.defs_back
3.修改配置文件:
PASS_MAX_DAYS 90 #新建用户的密码最长使用天数
PASS_MIN_DAYS 0 #新建用户的密码最短使用天数
PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数
PASS_MIN_LEN 9 #最小密码长度为9
>>>限制能够su为root的用户
1.root权限下使用命令cat /etc/pam.d/s查看是否有auth required /lib/security/pam_wheel.so这种配置的
2.备份原文件:cp -p /etc/pam.d /etc/pam.d_bak
3.在头部添加:auth required /lib/security/pam_wheel.so group=wheel(这样就只有wheel组的用户可以su到root)
可以使用usermod -G10 test将test用户加入到wheel组
>>>检查shadow中的空口令账号
1.检查:awk -F:'($2 == "") {print $1}' /etc/shadow
2.备份:cp -p /etc/shadow /etc/shadow_bak
3.锁定空口令账号或要求增加密码
>>>最小化服务