|
|
|
|
|
系统安全常规优化
|
|
su、sudo实验一:使用 su sudo 控制用户账号权限
|
|
需求描述:
|
|
1. 对用于远程登录的管理用户 radmin,允许其通过执行“su -”命令切换到 root 用户;其他所有
用户均禁止使用 su 切换身份;
2. 系统组的用户 zhangsan 负责公司员工的账号管理,允许其通过 sudo 方式添加/删除用户及修改
用户相关信息(包括密码),但是不允许其修改 root 用户的密码等信息;
3. 对系统管理员 lisi,允许其通过 sudo 方式执行/sbin、/usr/sbin 目录下的所有命令,并且不需要密
码验证;
4. 所有用户通过 sudo 执行的每一条命令,均以日志记录的形式写入到文件/var/log/sudo 中。
|
|
实验步骤:
|
|
1. 修改 su 的 pam 文件
|
|
# vi /etc/pam.d/su
.auth required pam_wheel.so
|
|
# usermod
|
|
-G
|
|
wheel
|
|
radmin
|
|
use_uid
|
|
2. 修改 sudoers 文件
|
|
# vi /etc/sudoers
Cmnd_Alias ALLOW_CMD = /usr/sbin/useradd,/usr/sbin/userdel,
/usr/sbin/usermod -*,/usr/bin/passwd [a-zA-Z]*
|
|
Cmnd_Alias
|
|
DENY_CMD =
|
|
! /usr/bin/passwd
|
|
\
|
|
root
|
|
root, /usr/sbin/usermod -*!
|
|
zhangsan ALL=ALLOW_CMD,DENY_CMD
|
|
3. 修改 sudoers 文件
|
|
# vi /etc/sudoers
:lisi ALL=NOPASSWD:/usr/sbin/*,/sbin/*
|
|
4. 添加日志功能
|
|
# vi /etc/sudoers
Defaults logfile = "/var/log/sudo"
|
|
# vi /etc/syslog.conf
local2.debug/var/log/sudo
|
|
# service
|
|
syslog
|
|
restart
|
|
|
|
|
|
实验二:为系统引导和登录提供安全加固
|
|
需求描述:
|
|
禁止非授权用户使用系统启动盘从光盘引导系统;
禁止非授权用户在引导服务器时通过单用户模式进入系统;
防止普通用户获取 GRUB 密码,防止 grub.conf 文件被无意中修改或删除;
在服务器本地仅开放 tty1、tty2 控制台终端,限制 root 用户只能从 tty1 登陆,其他普通用户只能
从 tty2 登陆;
5. 屏蔽掉 Ctrl + Alt + Del 热键重启功能;
6. 所有用户登录到 shell 后,默认超过 5 分钟没有操作则自动注销。
|
|
1.
2.
3.
4.
|
|
实验步骤:
|
|
1. 调整 BIOS 的启动顺序,将光驱启动调整到下面,然后设置 BIOS 密码(略)。
|
|
2. 设置 GRUB 修改密码
|
|
添加这一行
|
|
3. 锁定 GRUB 配置文件
|
|
# chattr +i
|
|
4. 限制终端登录
|
|
/boot/grub/grub.conf
|
|
|
|
|
|
# vi /etc/pam.d/login
accountrequired
|
|
pam_access.so
|
|
# vi /etc/security/access.conf
- :ALL EXCEPT root :tty1
|
|
5. 设置 inittab 文件,禁用 Ctrl + Alt + Del 三热键
|
|
6. 设置 profile 文件,调整 5 分钟自动注销
|
|
# vi /etc/profile
export TMOUT = 300
|