Linux系统安全常规配置全.docxVIP

Linux(RHEL5)系统安全常规优化一、Linux系统安全优化之基本安全措施1.?????? 删除或禁用系统中不使用的用户和组#??passwd?-l??wang?//禁用账户wang??#??passwd?-u??wang?//解锁账户wang??或??#??vi??/etc/shadow????//保存时为?:wq!??因为文件为只读?在密码字符前加两个叹号！2.?????? 确认程序或服务的登录shell不可用#??vi??/etc/passwd?//将用户的登录shell改为/sbin/nologin??或??#??usermod?-s???/sbin/nologin?wang?3.?????? 限制用户的密码有效期（最大天数）#??vi??/etc/login.defs?//只对新建立的用户有效??PASS_MAX_DAYS????30 ??或??#??chage?-M??30??wang?//只对已经存在的wang用户有效?4.?????? 指定用户下次登录时必须更改密码#??chage?-d??0??wang??或??#??vi??/etc/shadow??//将shadow文件中wang用户LAST? DAY 域（冒号 ：分割的第三列）的值设为05.?????? 限制用户密码的最小长度#??vi??/etc/pam.d/system-auth ??password???requisite???pam_cracklib.so???try_first_pass??retry=3?minlen=12?retry? 重试时间minlen 安全级别6.?????? 限制记录命令历史的条数#??vi??/etc/profile ??HISTSIZE=50?（默认为1000）??#??echo??“history??-c??“??》?~/.bash_logout?//注销时清除命令历史记录?7.?????? 设置闲置超时自动注销终端#??vi???/etc?/profile ??exportTMOUT=600?//添加此行使用SU切换用户身份??su?[-]??用户名?[-] 区别 ：使用：相当于 - -login，表示使用目标用户的登录shell环境，工作目录，PATH变量等不使用： 保持原有的用过环境不便二、Linux系统安全优化之案例说明su的使用方法允许wang用户可以通过su命令切换为root身份，以便执行管理任务禁止其他用户使用su命令切换用过身份（1）?????? 将允许用户加入wheel组#??gpasswd?-a??wang?wheel ??#??id??wang?//查看wang用户的附加组?（2）?????? 修改PAM设置，添加pam_wheel认证#??vi??/etc/pam.d/su??auth???required??pam_wheel.so?use_uid?//去掉该行的#号?（3）?????? 验证su权限Linux系统安全优化中基本安全措施的配置就向大家介绍完了，希望大家已经掌握。三、Linux系统安全优化之使用sudo提升执行权限1./etc/sudoers配置文件---------visudosudo命令提供一种机制，只需要预先在/etc/sudoers配置文件中进行授权，即可以允许特定用户以超级用户（或其他普通用户）的身份执行命令，而该用户不需知道root用户的密码（或其他用户）的密码。常见语法格式如下：user?? MACHINE=COMMANDSuser：? 授权指定用户MACHINE主机：? 授权用户可以在哪些主机上使用COMMANDS命令：授权用户通过sudo调用的命令，多个命令用 ， 分隔/etc/sudoers文件配置中的用户、主机、命令三个部分均为可以自定义别名进行代替，格式如下User_Alias?OPERATORS=jerry,?tom,?tsengyia??Host_Alias?MAILSERVERS=smtp?,?pop ??Cmnd_Alias?SOFTWARE=/bin/rpm?,?/usr/bin/yum?2.使用sudo执行命令sudo -l? :查看当前用过被授权使用的sudo命令sudo -k? :清除timestamp时间戳标记，再次使用sudo命令时需要重新验证密码sudo -v? :重新更新时间戳（必要时系统会再次询问用户密码）案例说明：因系统管理工作繁重，需要将用户账号管理工作交给专门管理组成员负责设立组账号 managers ，授权组内的各个成员用户可以添加、删除、更改用户账号（1）?????? 建立管理组账户? managers#? groupadd managers（2）?????? 将管理员账号，如wang加入managers组