linux-系统安全加固.docVIP

用户帐号安全优化 帐号安全基本措施 删除不使用的帐号、禁用暂时不使用的帐号 检查程序用户的登录Shell是否异常 强制用户定期修改密码（设置密码有效期） /etc/login.defs文件、chage命令 增强普通用户的密码强度 /etc/pam.d/system-auth文件中的minlen参数 减少记录命令历史的条数 环境变量 HISTSIZE 设置在命令行界面中超时自动注销 环境变量 TMOUT 可直接打开/etc/passwd文件进行讲解，因用于运行程序或一些服务的帐号不需登录，因此Shell一般应设置成/sbin/nologin。 使用su切换用户身份 su命令 用途：Substitute User，切换为新的替换用户身份 格式：su [-] [用户名] 简单介绍切换用户身份的应用场合，引出su命令并介绍其用途、命令格式缺省用户名时，表示切换为root用户 root用户可切换为任意普通用户，无需提供密码；而普通用户切换为其他用户时，需要提供目标用户的密码 “-”可选项相当于“--login”，表示使用目标用户的登录shell（Login Shell）环境，工作目录、PATH变量等都会做相应改变 默认情况下，所有普通用户均可以使用su命令，例如执行“su -”，然后不断的尝试root用户的密码，直到试出来为止主要通过pam_wheel模块进行限制，只要将允许使用su命令的 用户加入wheel组，并在“/etc/pam.d/su”文件中进行配置即可 使用sudo提升执行权限 sudo机制 用途：以可替换的其他用户身份执行命令，若未指定目标用户 ，默认将视为root用户 格式：sudo [-u 用户名] 命令操作 指出su命令切换用户身份时的局限性（需要知道目标用户的密码），引出sudo命令并讲解其用途，介绍命令的基本使用格式要想正常使用sudo命令，需要有目标用户的授权（由管理员设置），就好比交通协警需要获得交通局的授权才能在街上协助 指挥交通、房屋中介需要获得业主授权才能替顾客出售房子一样可以使用root用户执行sudo命令，演示其命令格式，但需要说明两点： 1.普通用户使用sudo执行命令时会要求提供自己的密码进行验证； 2.实际上，sudo机制的作用主要在于 —— 能够允许经过授权的个别普通用户以root权限执行一些授权使用的管理命令。 而需要某个普通用户以另一个普通用户权限执行命令时，一般不建议使用sudo机制，否则容易造成帐号冒用等问题root用户默认可以使用sudo命令以任何用户身份执行任何命令，但是其他用户需要使用sudo执行命令时，必须经过管理员的授权设置…… 配置文件：/etc/sudoers 授权哪些用户可以通过sudo方式执行哪些命令 以下2种方法都可以编辑sudoers文件 visudo vi /etc/sudoers 讲解打开sudo配置文件的方法，说明两种方法的区别，建议使用visudo命令 使用visudo或者vi都可以打开”/etc/sudoers“文件进行编辑 使用”visudo“方式时将间接调用vi编辑器并打开”/etc/suders“配置文件，修改完毕后可以直接使用末行命令”:w“进行保存 使用”vi /etc/sudoers“方式时则是直接使用vi编辑器，将无法直接保存（必须使用”:w!“强制保存），因为sudoers文件的权限为440 在sudoers文件中的基本配置格式 用户 主机名列表=命令程序列表 分别讲解sudo配置记录中不同组成部分的含义 可以使用”%组名“的形式同时为一个组的用户授予权限 主机名列表指的是本机的不同名称，而不是远程登录的客户机，因此一般均使用”localhost” 命令列表部分可以用逗号分隔多条命令，每条命令建议都使用绝对路径 查看允许执行的命令列表（-l选项） 通过sudo执行命令（sudo 命令行） 清除用户密码验证的时间戳（-k） 重新校验密码（-v） 为sudo配置项定义别名 关键字：User_Alias、Host_Alias、Cmnd_Alias 注意设置的别名名称要使用大写字母 设置别名可以简化sudo配置行，并增强命令列表等设置内容的可重用性 如何使系统用户定期（如3个月）修改密码？ chage -M 90 用户名 使用su命令时，是否带“-”选项有何区别 ？ 带“-l”选项表示“--login”，会连同用户的Shell操作环境一起改变 sudo配置记录的基本格式是什么？ 用户 主机名=授权使用的命令路径 如何通过sudo调用被授权执行的命令？ sudo 授权使用的命令路径 文件系统级安全控制 合理规划系统分区 /boot、/home、/var、/opt 等建议单独分区 文件系统（分区）的挂载选项 mou