系统常规安全优化
在linux系统中有些程序在安装时会创建用户和组,这些用户用于启动服务OR运行进程,通常是不允许登录,例:news,mysql,named等等当受到攻击者假冒这些用户和组身份时,一般不易被管理员发现。根据自己当前的服务器的具体情况,可以把不用的用户和组删除。例:很少用的:games gopher uucp 等假如服务器不用要启用named服务器,就可以删除named用户named组,如何不太确定用户是否应该删除,也可以暂时禁用它
例:锁定(禁用) xiaojiayu
root@localhost # passwd -l xiaojiayu
locking password for user xiaojiayu
passwd:Success
-l 锁定-u 解锁
也可直接修改shadow 在xiaojiayu 用户的密码字符前加!
例:root@localhost # vi /etc/shadow
xijiaoyu:!$.........(密码加密字符串)
让程序和服务用户的登录shell不可用
例:把不用的使用终端的用户的登录shell 改成/sbin/nologin
root@localhost #vi /etc/passwd
new:x:12:00:NEW user:/var/new:/sbin/nologin
也可以
root@localhost #usermod -s /sbin/nologin rpm
限制用户的password有效期
例 把password最大有效天数改为10天
root@localhost #chage -M 10 xiaojiayu //只对已有的xiaojiayu用户有用
用户在登录服务器时,假如密码已过有效期,系统会要求重新设置一个新的密码,否则无法登录。
localhost login: xiaojiayu
password:
You are required to change your password immediately (password aged)
changing password for xiaojiayu
(current) UNIX password:
NEW UNIX password:
retype new UNIX passwoed:
指定用在下次登录时必需修改密码
root@localhost #chage -d 0 xiaojiayu
限制用户密码最小的长度
root@localhost #vi /etc/pam.d/system-auth
password requisite pam_cracklib.so try_first_pass retry=4 minlen=13
限制记录命令历史的条数
例将所用户的命令记录限制为100
root@localhost #vi /etc/profile
HISTSIZE=100
设置超时时自动注销终端
例:把全局超时设为500秒
root@localhost #vi /etc/profile
export TMOUT=500
页:
[1]