密码安全控制

         将密码的有效期设为30天:vim/etc/login.defs

                            spacer.gif

  将有效期30天应该在lisi用户:chage –M30 lisi

         某些特殊情况下,如要求批量创建的用户初次登录时必须自设密码,根据安全规划统一要求所有用户更新密码,可以有管理员执行强制策略,以便用户在下次登录时必须更改密码:

                            Chage–d 0 lisi

命令历史,自动注销。

                   Shell环境的命令历史机制为用户提供了极大的便利。但服务器的安全壁垒多了一个缺口。Bash终端环境中,历史目录的记录条数有变量HISTSIZE控制。默认为1000条。通过修改/etc/profile文件中的HISTSIZE变量值,可以影响系统中的所有用户:

spacer.gif

还可以修改宿主目录中的~/.bash_logout文件,添加清空历史命令的操作语句:

spacer.gif

                   Bash终端环境中,还可以设置一个闲置超时时间,当超过指定的时间没有任何输入时即自动注销终端,可以有效避免当管理员不在时其他人员对服务器的误操作风险。Vim /etc/profile     exportTMOUT=600

 

用户切换与提权

                   su命令主要用来切换用户,而sudo命令用来提升执行权限

                            su命令:切换为指定的另一个用户,从而具有该用户的所有权限。

                   选项“-”等同于“--login”或“-l”,表示切换用户后进入目标用户的登录shell环境,若缺少此选项则及切换身份,不切换用户环境。切换root用户,可以省略。

spacer.gif

                    借助于pam_wheel认证模块,只允许各别用户使用su命令切换。实现过程:将授权使用su命令的用户添加到wheel组,修改/etc/pam.d/su认证。

spacer.gif

         sudo命令——提升执行权限

                            通过su命令可以非常方便地切换为另一个用户,但前提条件是必须知道目标用户的登录密码

                   配置文件/etc/sudoers中添加授权

                            Sudo机制的配置文件为/etc/sudoers,文件多大默认权限为440,需使用专门的visudo工具进行编辑。

                   授权的基本配置格式:

                            userMACHINE=COMMANDS

         用户(user):授权的用户名,或采用“%组名”的形式

         主机(MACHINE):使用此配置文件的主机名称,方便在多个主机间共用同一份sudoers文件,一般设为localhost文件

         命令(COMMANDS):允许授权的用户通过sudo方式执行的特权命令,需填写命令程序的完整路径,多个命令之间以逗号进行分隔

                   授权用户较多,或者授权的命令较多时,可以采用集中定义的别名。用户,主机,命令部分都可以定义为别名,分别通过关键字user_AliasHost_Alias,Cmnd_Alias来进行设置。

                   User_Alias        OPERATORS=jerry,tom,tsengyia

                   Host_Alias        MAILSVRS=smtp,pop

                   Cmnd_Alias      PKGTOOLS=/bin/rpm,/usr/bin/yum

                   OPERATORS     MAILSVRS=RKGTOOLS

spacer.gif

         Sudo配置记录的命令的部分允许使用通配符“*”,取反符号“!”,当需要授权某个目录下的所有命令或取消其中个别命令是特别有用。

         通过sudo执行特权命令:只需要将正常的命令行作为sudo命令的参数即可。由于特权命令程序通常位于/sbin,/usr/sbin等目录下。普通用户执行是应使用绝对路径

权限不够

spacer.gif

spacer.gif

         sudo -l”命令可以看见已授权用户的sudo配置

spacer.gif

系统引导和登录控制

           开关机安全控制

                            调整bios引导设置

                                      将第一优化引导设备设为当前系统所在磁盘

                                      禁止从其他设备(光盘,U盘,网络等)引导系统,对应先设为“disabled

                                      bios的安全级别改为“setup”,并设置管理密码,防止未授权修改。

                                     禁止ctrl+alt+del快捷键重启

                                      快捷键的位置更改为/etc/init/control-alt-delete.conf,注释里面的信息即可。

spacer.gif                       限制更改GRUB引导参数。

         MD5算法加密的字符串:“grub-md5-crypt

spacer.gif  引导过程的安全控制,在“/boot/gurb/grub.conf”文件文件可以为GRUB菜单设置一个密码。

spacer.gif

重新开机按e进入GRUB菜单,直接按e将无法修改引导参数。需要按p键输入正确的GRUB密码。然后按e 添加1. 回车。按b,进入。输入root passwd

                   终端及登录控制

                                     /etc/init/tty.conf    //控制tty终端的开启

                                /etc/init/start-ttys.conf    //控制tty终端的开启数量,设备文件

                                /etc/sysconfig/init          //控制tty终端的开启数量,终端颜色

                   禁止root用户登录

                            Linux系统中,login程序会读取/etc/securetty文件,以决定允许root用户从哪些终端登录系统。

spacer.gif

                   禁止普通用户登录

                            login程序会检查/etc/nologin文件是否存在,如果存在则拒绝普通用户登录系统。

spacer.gif