我的工作是linux系统管理员,所以平时经常关注的也是linux系统了。下面我就我常在工作中用的系统安全以及优化方面的方法做一下注释。
1,禁止使用contral+alt+delete重起机器;这么做可以防止我们的机器被重启。
编辑/etc/inittab文件,注释掉下面一行.
ca::ctrlaltdel:/sbin/shutdown -t3 -r now
该成:(使用#)
# ca::ctrlaltdel:/sbin/shutdown -t3 -r now
ca::ctrlaltdel:/sbin/shutdown -t3 -r now
该成:(使用#)
# ca::ctrlaltdel:/sbin/shutdown -t3 -r now
2、帐号安全
口令,系统的第一道防线,目前大多数数***都是截获口令或猜测口令等口令***开始的.
/etc/login.defs文件是login程序的配置文件.口令的长度和口令的有效期等可以在这里设置
[root@test ~]# vi /etc/login.defs
...
PASS_MAX_DAYS 9999 密码被用最多天数
PASS_MIN_DAYS 0 密码被用最少天数
PASS_MIN_LEN 5 系统默认密码长度5,我们可以该成8或更多.
PASS_WARN_AGE 7 密码有效期警告,超过7天将提示用户更换新的密码
...
PASS_MAX_DAYS 9999 密码被用最多天数
PASS_MIN_DAYS 0 密码被用最少天数
PASS_MIN_LEN 5 系统默认密码长度5,我们可以该成8或更多.
PASS_WARN_AGE 7 密码有效期警告,超过7天将提示用户更换新的密码
/etc/profile文件是环境变量设置文件.在此文件设置环境变量将对所有用户生效.我们要在此文件设置自动
注销帐户的时间.及命令的历史记录数.
[root@test ~]# vi /etc/profile
...
HOSTNAME=`/bin/hostname`
HISTSIZE=1000 这里1000代表用户操作命令的历史记录.应尽量小一些.设置成0也可以,呵呵.
tmout=60 添加此行,如果系统用户在600秒(1分钟)内不做任何操作,将自动注销这个用户.
...
HOSTNAME=`/bin/hostname`
HISTSIZE=1000 这里1000代表用户操作命令的历史记录.应尽量小一些.设置成0也可以,呵呵.
tmout=60 添加此行,如果系统用户在600秒(1分钟)内不做任何操作,将自动注销这个用户.
/etc/passwd文件存放系统用户名,用户标识(UID),组标识(GID)等的地方
/etc/shadow文件是存放系统用户的密码加密的文件
/etc/group文件是存放系统组用户的信息
/etc/gshadow文件是存放系统组用户的密码加密的文件
为了防止恶意修改我们可以给以上几个文件只读的属性。
chattr +i /etc/passwd
禁止su命令
如果不想一些人使用"su"命令成为root或切换到其他用户,那么在"/etc/pam.d/su"做一些修改就可以。这些可以提高系统的安全性。
在/etc/pam.d/su下添加这两行:
auth sufficient /lib/security/$ISA/pam_rootok.so
auth required pam_wheel.so use_uid group=admin
// group=admin指定被允许的组,仅允许admin组的成员su成root
首先创建一个admin组
#addgroup admin
把允许可以使用su命令的用户加入admin组,如test,test2;test是admin组,而test2不属于admin组的。
#usermod -G admin test
在/etc/pam.d/su下添加这两行:
auth sufficient /lib/security/$ISA/pam_rootok.so
auth required pam_wheel.so use_uid group=admin
// group=admin指定被允许的组,仅允许admin组的成员su成root
首先创建一个admin组
#addgroup admin
把允许可以使用su命令的用户加入admin组,如test,test2;test是admin组,而test2不属于admin组的。
#usermod -G admin test