一、基础:
1.root与sudo
root账户:ubuntu下默认是锁定了root账户,如需开启,sudo passwd给root设定密码即可开启它。
如果需要锁定禁用:sudo passwd -l root
具有root权限的群组:admin,
可sudo授权的配置/etc/sudoers
2.添加与删除用户:
sudo adduser name
sudo deluser name
ubuntu默认情况下删除用户会保留其home目录
如果创建一个不能登录shell的用户,则需要将其添加到nologin组
sudo adduser nbame -g nologin
默认情况下新创建的用户其home目录是drwxr-xr-x,所以这将导致任何人可以读取和执行下面的文件,如果这会导致你的安全问题,你可以进行:
sudo chmod 0750 /home/name(不需要加上-R,这可能会导致意想不到的问题,因为已经对目录进行了限制,自然他们无法访问到目录下的文件,所以无需对其下文件进行限制)
如果想改变这种默认行为,你可以修改/etc/adduser.conf:
DIR_HOME=0750
如果你想禁用一个账户:
sudo passwd -l username
启用一个账户:
sudo passwd -u username
3.Passwoed Policy密码策略
我们可以设定密码的最小长度,过期时限,过期提醒等。
3.1设定密码的最小长度 vi /etc/pam.d/common-password,比如最小8位长度
password [success=1 default=ignore] pam_unix.so obscure sha512 min=8
如果想查看用户的密码配置情况: sudo chage -l username
Last password change : 3月 07, 2014 -E
Password expires : never 密码过期?
Password inactive : never 密码失效?
Account expires : never账户过期?
Minimum number of days between password change : 0 密码可修改的最小时间 -m
Maximum number of days between password change : 99999密 码必须修改的最大时间长度,即密码的过期时限 -M
Number of days of warning before password expires : 7 密码过期提示时间 -W
设定密码相关设定:
sudo chage -E 01/31/2014, -m 5 -M 90 -I 30 -W 14 username (此处 -I代表密码过期后多少天失效,账户被禁止)
注意:密码过期后还是可以登录,但是密码失效后账户就会被冻结。
4.关于SSH的账户安全考虑
我们可以禁止一个账户,但是假如这个账户已经通过SSH取得证书,那么它任然可以通过ssh登录主机。
这时我们应该移动/home/username/.ssh/authorized_keys,重命名它。
或者我们可以更彻底地通过改变 vim /etc/ssh/sshd_config文件
AllowGroup sshlogin
然后添加:
sudo addgroup sshlogin
sudo adduser username sshlogin
sudo service sshd restart
二、终端安全:
关闭ctrl+alt+del重启功能:
vim /etc/init/control-alt-delete.conf
注释它:# exec shutdown -r now "Control-Alt-Delete pressed"
三、FireWall防火墙
linux kernel提供了iptables工具用于网络封包过滤。也就是网络防火墙。
我们可以通过ufw这个工具来简化配置
3.1 ufw
ubuntu默认没有开启ufw,:
sudo ufw enable
关闭”sudo ufw disable