kavin

Linux系统安全配置

kavin linux 2018-11-24 2487浏览 0

1.防止任何人使用su命令成为root(删除系统中多余的帐号,则不必做该项)
如果不想任何人都可以用“su”命令成为root 或 只让某些用户有权使用“su”命令,须在“/etc/pam.d/su”文件的头部加入下面两行,确保只有“wheel”组的成员才能用su 命令成为root:
auth sufficient bcurity/pam_rootok.so
auth required bcurity/pam_wheel.so use_uid
然后使用“usermod -a -G10 用户名“命令将需要su成为root的用户添加到wheel用户组。
2.安装安全补丁
及时获得最新的安全补丁,经测试不会对系统上所运行的应用造成不良影响后,及时安装补丁程序。保持系统始终处于安装了必要的最新安全补丁状况。
3.设置合适的口令策略文件
编辑/etc/login.defs文件,设置合适的口令策略文件,包括最小口令长度、口令使用期限等,例如设置“PASS_MIN_LEN 8“,即默认的最小口令长度为8。
/etc/login.defs :
#       PASS_MAX_DAYS   Maximum number of days a password may be used.
#       PASS_MIN_DAYS   Minimum number of days allowed between password changes.
#       PASS_MIN_LEN    Minimum acceptable password length.
#       PASS_WARN_AGE   Number of days warning given before a password expires.
PASS_MAX_DAYS   90
PASS_MIN_LEN    8
启用口令策略以达到一定的复杂度:
vi /etc//pam.d/passwd 
  文件的头部加入password  required  pam_cracklib.so  retry=3 difok=8 minlen=5
限制最大同时登录的会话数
/etccuritymits.conf 中加入
*                hard    maxlogins       8
/etc/pam.d/login 中加入
session    required     b64curity/pam_limits.so
如是32位版的linux(uname –m 检查操作系统版本),文件名应改为bcurity/pam_limits.so
需重启sshd服务(service sshd restart)。
4.帐号锁定
/etc/pam.d/system-auth :(下面两条放到sufficient条目之前)
auth        required        b64curity/pam_tally.so onerr=fail 
account     required        b64curity/pam_tally.so deny=30 reset
如是32位版的linux,文件名应改为bcurity/pam_tally.so
需重启sshd服务(service sshd restart)。
5.网络访问控制
禁止root远程登录
/etc/ssh/sshd_config :   (修改下面两条,需重启service sshd restart)
PermitRootLogin no
MaxAuthTries 6
屏蔽banner信息
/etc/ssh/sshd_config :
注释掉banner的相关条目
#Banner /some/path
6.设置初始文件权限
~/.bash_profile :  (针对每一用户,该配置文件中增加一行)
umask 077    #适用root用户,其它用户不可读
umask 022    #适用非root用户,其它用户可读不可写
7.设置合适的历史命令数量
编辑“/etc/profile”文件,确保HISTFILESIZE和HISTSIZE都设成了一个比较小的值。
export HISTSIZE=80
export HISTFILESIZE=80
8.设置系统自动注销帐号功能
编辑/etc/profile文件,确保其中TMOUT参数设置了合适的值,例如600(10分钟),即可设置自动注销帐号功能。

转载请注明:IT运维空间 » linux » Linux系统安全配置

继续浏览有关 安全配置 的文章
发表评论