|
|
|
|
|
系統安全常規優化
|
|
su、sudo實驗一:使用 su sudo 控制用戶賬號權限
|
|
需求描述:
|
|
1. 對用於遠程登錄的管理用戶 radmin,允許其通過執行“su -”命令切換到 root 用戶;其他所有
用戶均禁止使用 su 切換身份;
2. 系統組的用戶 zhangsan 負責公司員工的賬號管理,允許其通過 sudo 方式添加/刪除用戶及修改
用戶相關信息(包括密碼),但是不允許其修改 root 用戶的密碼等信息;
3. 對系統管理員 lisi,允許其通過 sudo 方式執行/sbin、/usr/sbin 目錄下的所有命令,並且不需要密
碼驗證;
4. 所有用戶通過 sudo 執行的每一條命令,均以日誌記錄的形式寫入到文件/var/log/sudo 中。
|
|
實驗步驟:
|
|
1. 修改 su 的 pam 文件
|
|
# vi /etc/pam.d/su
.auth required pam_wheel.so
|
|
# usermod
|
|
-G
|
|
wheel
|
|
radmin
|
|
use_uid
|
|
2. 修改 sudoers 文件
|
|
# vi /etc/sudoers
Cmnd_Alias ALLOW_CMD = /usr/sbin/useradd,/usr/sbin/userdel,
/usr/sbin/usermod -*,/usr/bin/passwd [a-zA-Z]*
|
|
Cmnd_Alias
|
|
DENY_CMD =
|
|
! /usr/bin/passwd
|
|
\
|
|
root
|
|
root, /usr/sbin/usermod -*!
|
|
zhangsan ALL=ALLOW_CMD,DENY_CMD
|
|
3. 修改 sudoers 文件
|
|
# vi /etc/sudoers
:lisi ALL=NOPASSWD:/usr/sbin/*,/sbin/*
|
|
4. 添加日誌功能
|
|
# vi /etc/sudoers
Defaults logfile = "/var/log/sudo"
|
|
# vi /etc/syslog.conf
local2.debug/var/log/sudo
|
|
# service
|
|
syslog
|
|
restart
|
|
|
|
|
|
實驗二:爲系統引導和登錄提供安全加固
|
|
需求描述:
|
|
禁止非授權用戶使用系統啓動盤從光盤引導系統;
禁止非授權用戶在引導服務器時通過單用戶模式進入系統;
防止普通用戶獲取 GRUB 密碼,防止 grub.conf 文件被無意中修改或刪除;
在服務器本地僅開放 tty1、tty2 控制檯終端,限制 root 用戶只能從 tty1 登陸,其他普通用戶只能
從 tty2 登陸;
5. 屏蔽掉 Ctrl + Alt + Del 熱鍵重啓功能;
6. 所有用戶登錄到 shell 後,默認超過 5 分鐘沒有操作則自動註銷。
|
|
1.
2.
3.
4.
|
|
實驗步驟:
|
|
1. 調整 BIOS 的啓動順序,將光驅啓動調整到下面,然後設置 BIOS 密碼(略)。
|
|
2. 設置 GRUB 修改密碼
|
|
添加這一行
|
|
3. 鎖定 GRUB 配置文件
|
|
# chattr +i
|
|
4. 限制終端登錄
|
|
/boot/grub/grub.conf
|
|
|
|
|
|
# vi /etc/pam.d/login
accountrequired
|
|
pam_access.so
|
|
# vi /etc/security/access.conf
- :ALL EXCEPT root :tty1
|
|
5. 設置 inittab 文件,禁用 Ctrl + Alt + Del 三熱鍵
|
|
6. 設置 profile 文件,調整 5 分鐘自動註銷
|
|
# vi /etc/profile
export TMOUT = 300
|