禁止任何人能够su切换为root,编辑/etc/pam.d/su文件,增加如下行:
authrequired pam_wheel.so use_uid
这时,仅wheel组的用户可以su作为root。此后,如果希望用户admin能够su作为root,可以运行如下命令:
#usermod –G 10 admin
八、 限制普通用户无法执行关机、重启、配置网络等敏感操作
删除/etc/security/console.apps下的halt、reboot、poweroff、shutdown等程序的访问控制文件,以禁止普通用户执行该命令
也可以整体删除/etc/security/console.apps下的所有配置文件
rm –rf /etc/security/console.apps/*
九、 禁用Ctrl+Alt+Delete组合键重新启动机器命令
修改/etc/inittab文件,将"ca::ctrlaltdel:/sbin/shutdown-t3-rnow"一行注释掉。
十、 设置开机启动服务文件夹权限
设置/etc/rc.d/init.d/目录下所有文件的许可权限,此目录下文件
为开机启动项,运行如下命令:
#chmod –R 700 /etc/rc.d/init.d/
这样便仅有root可以读、写或执行上述所有脚本文件。
十一、避免login时显示系统和版本信息
删除信息文件:
rm –rf /etc/issue
rm –rf /etc/issue.net
第二章 限制网络访问
一、 NFS访问
使用NFS网络文件系统服务,应该确保/etc/exports具有最严格的访问权限设置,也就是意味着不要使用任何通配符、不允许root写权限并且只能安装为只读文件系统。编辑文件/etc/exports并加入如下两行。