linux服务器基本安全设置

linux服务器基本安全设置

一、基本安全
 
1、账号安全
 
将非登录用户的Shell设为/sbin/nologin，
 
锁定长期不使用的账号，
 
删除无用的账号
 
锁定账号文件passwd、shadow
 
锁定文件并查看状态
 
[root@localhost ~]# chattr +i /etc/passwd /etc/shadow
 
[root@localhost ~]# lsattr /etc/passwd /etc/shadow
 
—-i——– /etc/passwd
 
—-i——– /etc/shadow
 
解锁文件并查看状态
 
[root@localhost ~]# chattr -i /etc/passwd /etc/shadow
 
[root@localhost ~]# lsattr /etc/passwd /etc/shadow
 
————- /etc/passwd
 
————- /etc/shadow
 
2、密码安全
 
设置密码有效期
 
要求用户下次登录时修改密码
 
适用于新建用户：
 
[root@localhost ~]# vi /etc/login.defs
 
……
 
PASS_MAX_DAYS    30
 
适用于已有用户：
 
[root@localhost ~]# chage -M 30 lisi
 
强制在下次登录时更改密码
 
[root@localhost ~]# chage -d 0 zhangsan
 
3、命令历史、自动注销
 
命令历史限制
 
减少记录的命令条数
 
注销时自动清空命令历史
 
[root@localhost ~]# vi /etc/profile
 
……
 
HISTSIZE=200
 
[root@localhost ~]# vi ~/.bash_logout
 
……
 
history -c
 
clear
 
终端自动注销：
 
闲置600秒后自动注销
 
[root@localhost ~]# vi ~/.bash_profile
 
……
 
export TMOUT=600
 
4、su命令的控制
 
用途及用法
 
用途：Substitute User，切换用户
 
格式：su - 目标用户
 
密码验证
 
root  到à 任意用户， 不验证密码
 
普通用户 à
 
其他用户，验证目标用户的密码
 
限制使用su命令的用户
 
启用pam_wheel认证模块
 
将允许使用su命令的用户加入wheel组
 
[root@localhost ~]# vi /etc/pam.d/su
 
#%PAM-1.0
 
auth        sufficient  pam_rootok.so
 
auth        required    pam_wheel.so use_uid
 
……
 
[root@localhost ~]# gpasswd -a tsengyia wheel
 
tsengyia
 
正在将用户“tsengyia”加入到“wheel”组中
 
查看su操作记录
 
安全日志文件：/var/log/secure
 
[root@localhost ~]# tail /var/log/secure
 
……
 
May  13 18:05:51 mail su: pam_unix(su-l:session): session opened for user root by tsengyia(uid=1006)
 
May  13 18:07:34 mail su: pam_unix(su-l:session): session opened for user jerry by tsengyia(uid=1006)
 
5、使用sudo机制提升权限
 
用途及用法
 
用途：以其他用户身份（如root）执行授权的命令
(责任编辑：VEVB)