Linux 1 系统安全常规优化2.pptVIP

技能展示 会加强用户帐号安全的常见措施 会加强文件系统安全的常见措施 会加强系统引导和登录安全的常见措施 用户帐号安全优化 帐号安全基本措施 删除不使用/不必要的帐号、禁用暂时不使用的帐号 passwd –l username,usermod -L 强制用户定期修改密码（设置密码有效期） /etc/login.defs文件、chage命令。 #? chage?? -d? 0? username 指定用户下次必须更改密码 锁定不希望更改的系统文件 chattr +i /etc/passwd chattr –i /etc/passwd 减少记录命令历史的条数 环境变量 HISTSIZE 设置在命令行界面中超时自动注销 环境变量 TMOUT 禁止ctrl+alt+delete重新启动命令 用户账号安全优化 帐号安全基本措施 root账号的安全 密码复杂性 /etc/pam.d/system-auth，在pam_cracklib.so下添加： password? ?required? ?/lib/security/$ISA/pam_cracklib.so??ucredit=-2? ?lcredit=-2? ?dcredit=-3? ? ocredit=-1 minlen=6 使用su切换用户身份 su命令 用途：Substitute User，切换为新的替换用户身份 格式：su [-] [用户名] 限制su命令 应用示例： 仅允许zhangsan用户使用su命令切换身份 使用sudo提升执行权限 sudo机制 用途：以可替换的其他用户身份执行命令，若未指定目标用户，默认将视为root用户。可限制用户只在某台主机上运行某些命令。 格式：sudo [-u 用户名] 命令操作 使用sudo提升执行权限 配置文件：/etc/sudoers 授权哪些用户可以通过sudo方式执行哪些命令 以下2种方法都可以编辑sudoers文件 visudo vi /etc/sudoers 使用sudo提升执行权限 在sudoers文件中的基本配置格式 用户 主机名列表=命令程序列表 使用sudo提升执行权限 应用示例1： 需求描述： 允许用户zh通过sudo执行/sbin、/bin、/usr/bin目录下的所有命令，但是禁止调用ifconfig(/sbin/)、vim命令 授权wheel组的用户不需验证密码即可执行所有命令 为sudo机制增加日志功能 使用sudo提升执行权限 应用示例1（续）： 测试sudo配置的效果 查看允许执行的命令列表（-l选项） 通过sudo执行命令（sudo 命令行） 清除用户密码验证的时间戳（-k） 使用sudo提升执行权限 应用示例2： 案例说明：因系统管理工作繁重，需要将用户账号管理工作交给专门管理组成员负责。 设立组帐号“managers”，授权组内的各成员用户可以添加、删除、更改用户帐号 推荐步骤： 创建管理组帐号“managers” 将管理员帐号（如zhangsan、lisi）加入到managers组 配置sudo文件，针对managers组放开对useradd、userdel等用户管理命令的权限 使用zhangsan帐号登录后，验证是否可以添加、删除用户 小结 请思考： 如何使系统用户定期（如3个月）修改密码？ 使用su命令时，是否带“-”选项有何区别 ？ sudo配置记录的基本格式是什么？ 如何通过sudo调用被授权执行的命令？ 文件系统级安全控制 合理规划系统分区 /boot、/home、/var、/opt 等建议单独分区 /etc/exports /tmp 1.1.1.1 (ro,root_squash) TCP_WRAPPERS 默认允许所有服务请求，在/etc/hosts.deny: ALL:ALL@ALL,PARANOID /etc/hosts.allow，加入允许访问的计算机: sshd:1.1.1.2 in.telnetd:1.1.1.2 /etc/host.conf文件 nospoof设成on，禁止IP欺骗。 安全使用应用程序和服务 关闭不需要的系统服务 使用ntsysv、chkconfig管理工具 chattr +i /etc/services 禁止普通用户执行init.d目录中的脚本 限制“other”组的权限chmod –R 700 /etc/rc.d/init.d/ 禁止普通用户执行控制台程序 consolehelper控制台助手 配置目录：/etc/security/console.apps/ 安全使用应用程序和服务 Syslog系统日志工具 /etc/syslog.conf 服务名.优先级