Root及普通用户登陆终端限制
1./etc/security/access.conf
2./etc/securetty
虚拟终端控制
vlock
锁定虚拟终端功能正常,伪终端部分功能可以使用
密码控制
cli :chage
/etc/login.defs
sudo深入
/etc/sudoers
使用PAM限制用户登录时间
[root@localhost ~]# cat /etc/security/time.conf | grep -v '^#'
login;tty*;wiil;!Al0000-2400限制wiil在所有时间登陆所有tty虚拟终端,同理可修改pts终端等。
time.conf是pam_time.so的配置文件。在/etc/security/limits.conf是pam_limits.so的配置文件,其他
文件同理。
[root@localhost ~]# cat /etc/pam.d/login
auth required pam_time.so #添加这一行需要PAM和conf文件结合,同理limits的限制。
pts终端限制:
[root@localhost ~]# grep -v '^#' /etc/security/time.conf
login;*;wiil;!Al0000-2400
sshd;*;wiil;!Al0000-2400account required pam_time.so ##添加到/etc/pam.d/sshdtime.conf中指定的service做限制后需要在pam.d中也要添加进去
iptables相关
firewall logging:
kitten# iptables -A INPUT -p udp -s 192.168.0.111 --dport domain -j LOG --log-prefix "IPT_BAD_DNS"
kitten# iptables -A INPUT -p udp -s 192.168.0.111 --dport domain -j DROP注意不能rules顺序,写反不会有记录。添加完规则后修改syslog配置文件 rsyslog.conf.重启rsyslog服务。
重启rsyslog遇到“Mar 1 21:33:39 localhost rsyslogd-2027: imjournal: fscanf on state file `/var/lib/rsyslog/imjournal.state’ failed
”,解决办法:删除该state文件
[root@cu04 ~]# grep kern.warn /etc/rsyslog.conf
kern.warn /var/log/iptables.log
[root@cu04 ~]# iptables -A INPUT -i eno1 -p tcp --dport ssh -m state --state NEW -j LOG --log-prefix "SSH_IPTABLES_NEW" --log-level warning
[root@cu04 ~]# iptables -A INPUT -p tcp --dport ssh -m state --state NEW -s 192.168.100.0/24 -j REJECT记录ssh登录记录,也可以记录后reject掉。
文件权限及gpg加密
setuid、setgid、chattr (i,a)、gpg
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
