Linux系统安全常规配置.docVIP

Linux 系统安全常规配置 基本安全措施1. 删除或禁用系统中不使用的用户和组# passwd -l wang //禁用账户wang# passwd -u wang //解锁账户wang或# vi /etc/shadow //保存时为 :wq! 因为文件为只读在密码字符前加两个叹号！2. 确认程序或服务的登录shell不可用# vi /etc/passwd //将用户的登录shell改为/sbin/nologin或# usermod -s /sbin/nologin wang3. 限制用户的密码有效期（最大天数）# vi /etc/login.defs //只对新建立的用户有效PASS_MAX_DAYS 30或# chage -M 30 wang //只对已经存在的wang用户有效4. 指定用户下次登录时必须更改密码# chage -d 0 wang或# vi /etc/shadow//将shadow文件中wang用户LAST DAY 域（冒号 ：分割的第三列）的值设为05. 限制用户密码的最小长度# vi /etc/pam.d/system-authpassword requisite pam_cracklib.so try_first_pass retry=3 minlen=12retry 重试时间 minlen 安全级别6. 限制记录命令历史的条数# vi /etc/profileHISTSIZE=50 （默认为1000）# echo “history -c “ 》 ~/.bash_logout //注销时清除命令历史记录7. 设置闲置超时自动注销终端# vi /etc /profileexport TMOUT=600 //添加此行使用SU切换用户身份su [-] 用户名[-] 区别 ：使用：相当于 – -login，表示使用目标用户的登录shell环境，工作目录，PATH变量等不使用： 保持原有的用过环境不便案例说明su的使用方法允许wang用户可以通过su命令切换为root身份，以便执行管理任务禁止其他用户使用su命令切换用过身份（1） 将允许用户加入wheel组# gpasswd -a wang wheel# id wang //查看wang用户的附加组（2） 修改PAM设置，添加pam_wheel认证# vi /etc/pam.d/suauth required pam_wheel.so use_uid //去掉该行的#号（3） 验证su权限? 使用sudo提升执行权限1./etc/sudoers配置文件———visudosudo命令提供一种机制，只需要预先在/etc/sudoers配置文件中进行授权，即可以允许特定用户以超级用户（或其他普通用户）的身份执行命令，而该用户不需知道root用户的密码（或其他用户）的密码。常见语法格式如下：user MACHINE=COMMANDSuser： 授权指定用户MACHINE主机： 授权用户可以在哪些主机上使用COMMANDS命令：授权用户通过sudo调用的命令，多个命令用 ， 分隔/etc/sudoers文件配置中的用户、主机、命令三个部分均为可以自定义别名进行代替，格式如下User_Alias OPERATORS=jerry, tom, tsengyiaHost_Alias MAILSERVERS=smtp , popCmnd_Alias SOFTWARE=/bin/rpm , /usr/bin/yum2.使用sudo执行命令sudo -l :查看当前用过被授权使用的sudo命令sudo -k :清除timestamp时间戳标记，再次使用sudo命令时需要重新验证密码sudo -v :重新更新时间戳（必要时系统会再次询问用户密码）案例说明：因系统管理工作繁重，需要将用户账号管理工作交给专门管理组成员负责设立组账号 managers ，授权组内的各个成员用户可以添加、删除、更改用户账号（1） 建立管理组账户 managers# groupadd managers（2） 将管理员账号，如wang加入managers组# gpasswd -M wang.nan managers（3） 配置sudo文件，针对managers组开放useradd 、 userdel 等用户管理命令的权限# visudoCmns_Alias USERADM = /usr/sbin/useradd , /usr/sbin/userdel , /usr/sbin/usermod%managers localhost = USERADM（4） 使用wang账号