用户安全

1. 锁定系统中多余的自建帐号

# cp -p /etc/passwd /etc/passwd_bak

# cp -p /etc/shadow /etc/shadow_bak

加固方法:

使用命令passwd -l <用户名>锁定不必要的账号。

使用命令passwd -u <用户名>解锁需要恢复的账号。

2. 设置系统口令策略

# cp -p /etc/login.defs /etc/login.defs_bak

加固方法:

# vi /etc/login.defs修改配置文件

PASS_MAX_DAYS 90 #新建用户的密码最长使用天数

PASS_MIN_DAYS 0 #新建用户的密码最短使用天数

PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数

PASS_MIN_LEN 8 #最小密码长度9

注:如果需要单独对某个用户密码不限制最长时间,使用命令

# passwd –x 99999 用户名;或者passwd –x -1 用户名

3.禁用root之外的超级用户

# cp -p /etc/passwd /etc/passwd_bak

加固方法:

使用命令passwd -l <用户名>锁定不必要的超级账户。

使用命令passwd -u <用户名>解锁需要恢复的超级账户。

4. 检查shadow中空口令帐号

# cp -p /etc/shadow /etc/shadow_bak

加固方法:对空口令账号进行锁定(passwd –l 用户名),或要求增加密码.

clip_image001

注:当新增加账号还没有设置密码的时候,该账号默认为锁定状态。

clip_image001

5. 设置合理的初始文件权限

#cp -p /etc/profile /etc/profile_bak

加固方法:

# vi /etc/profile

umask 022

6. 设置访问控制策略限制能够管理本机的IP地址

# cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak

加固方法:

# vi /etc/ssh/sshd_config,添加以下语句

AllowUsers *@10.138.*.* 此句意为:仅允许10.138.0.0/16网段所有用户通过ssh访问

# service sshd restart

7. 禁止root用户远程登陆

# cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak

加固方法:

# vi /etc/ssh/sshd_config

PermitRootLogin no

# service sshd restart

clip_image002

clip_image002

8. 限定信任主机

# cp -p /etc/hosts.equiv /etc/hosts.equiv_bak

# cp -p /$HOME/.rhosts /$HOME/.rhosts_bak

加固方法:

# vi /etc/hosts.equiv 删除其中不必要的主机

# vi /$HOME/.rhosts 删除其中不必要的主机

9. 屏蔽登录banner信息

检查方法:

# cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak

# cp -p /etc/motd /etc/motd_bak

加固方法:

# vi /etc/ssh/sshd_config

banner NONE

# vi /etc/motd

删除全部内容或更新成自己想要添加的内容

10. 防止误使用Ctrl+Alt+Del重启系统

检查方法:

# cp -p /etc/inittab /etc/inittab_bak

加固方法:

# vi /etc/inittab

在行开头添加注释符号“#”

#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

clip_image003

clip_image003

11. 禁止ping命令

# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all ##注:如果是0的话是允许ping的。

还有另外一种方法:

修改/etc/sysconfig/iptables文件:

# iptables -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j DROP

12. 修改帐户TMOUT值,设置自动注销时间

# cp -p /etc/profile /etc/profile_bak

加固方法:

# vi /etc/profile

增加

TMOUT=600 无操作600秒后自动退出

13. 设置Bash保留历史命令的条数

# cp -p /etc/profile /etc/profile_bak

加固方法:

# vi /etc/profile

修改HISTSIZE=20即保留最新执行的20条命令

时间: 2024-10-05 00:53:43

用户安全的相关文章

记一次MySQL找回用户数据

事情经过 有天,我们公司外区的一个销售C说他8月3号以前的工作流记录找不到了.问清缘由,原来是更新了微信号(我们公司的工作流是基于企业微信开发的).经过分析,微信号和流程数据并没什么关系,所以初步得出结论:本来只需要更新微信号的,结果我们公司的流程系统管理员把用户先删除,再创建了新的用户. 解决过程 1.首先想到的是直接从定时备份数据里面找回原来的用户ID,结果发现系统只备份了十天的记录,而工作流系统上显示销售C只有8月3号以后的流程记录,距今已经40多天,从自动备份的数据里已经无法恢复. 2.

微信开发 网页授权获取用户基本信息

微信公众平台最近新推出微信认证,认证后可以获得高级接口权限,其中一个是OAuth2.0网页授权,很多朋友在使用这个的时候失败了或者无法理解其内容,希望我出个教程详细讲解一下,于是便有了这篇文章. 一.什么是OAuth2.0 官方网站:http://oauth.net/   http://oauth.net/2/ 权威定义:OAuth is An open protocol to allow secure authorization in a simple and standard method

java web应用用户上传图片的存储地址

原来工程的上传图片存储地址在web应用的目录下,并且是硬编码到其中的: 每次使用maven tomcat:redeploy以后,这个目录就没有了. 现在想要把上传图片的位置移动到tomcat的webapps目录中专门存放图片的一个目录下. 即,新建的一个images目录用来存放web应用的图片们. 这样就把工程和用户上传图片分离了,以后在redeploy时也不用预先备upload目录,然后再拷贝回去,因而在web应该更新时比较方便些.此外,还想改变文件路径被硬编码到java文件中的现状,所以将文

mongodb 安装、windows服务、创建用户

http://www.cnblogs.com/best/p/6212807.html 打开MongoDB的安装目录如“C:\Program Files\MongoDB\Server\3.4\bin”,并在此目录下新建一个mongo.config文件,文件内容如下: ##数据库目录## dbpath=C:\data\db ##日志输出文件## logpath=C:\data\log\db.log 使用cmd进入命令行 使用cd切换目录到安装目录下,如:cd  C:\Program Files\Mo

20、oracle用户管理恢复

下面会一一讲解控制文件.redo文件及非归档模式.归档模式数据文件丢失的情况下,如何恢复数据? (1)控制文件(controlfile)丢失 在做恢复实验之前,先备份好数据. 案例1.模拟一个控制文件丢失 select name from v$controlfile; SQL> select name from v$controlfile; NAME -------------------------------------------------------------------------

Linux用户管理(一)Linux系统概述

Linux系统概述 一. 认识Linux 1.Linux的性质 Linux为一种源码公开的自由软件,是一种真正多任务和多用户的网络操作系统. Linux的多用户和多任务.同时开设多个用户终端.可以由用户同时运行多个程序 2.  Linux的发展历史 (1)  UNIX和Linux的发展: -1968年 美国的kenThompson在贝尔实验室关于一个Multics项目开始了UNIX的历史(基于PDP-11平台,使用汇编语言) -1970年 第一版的UNIX出现在贝尔实验室,此时的UNIX支持三个

java微信授权获取OPENID,ACCESS_TOKEN,用户信息

获取微信的openId流程 1.获取微信code 使用接口 : appId 是当前开发者的appId 不是用户的  path  是回调地址 这个链接是授权链接,当重定向这个链接的时候,会展示授权页,点击授权之后 跳入你path的请求接口    回调中带了一个参数code获取到就行 https://open.weixin.qq.com/connect/oauth2/authorize?appid="+appId+"&redirect_uri="+path+"&

最新版勤哲Excel服务器V2016.12.0.292无限用户支持手机APP,微信,网页等功能不绑定电脑,任意安装,支持后续升级

最新版勤哲Excel服务器V2016.12.0.292无限用户支持手机APP,微信,网页等功能不绑定电脑,任意安装,支持后续升级. 这个版本发布过之后,再发布新的版本需要到下个月的中下旬,老朋友可以使用本版本后面延续升级 目前有大约127家用户在用,没有修改过注册授权文件,系统非常成熟,推荐指数为五星,QQ:619920289 麦枫论坛http://www.mfsun.com 简介 EXCEL服务器作为一款客户化.综合性管理软件,它通过Excel就能构造出您自主的管理系统:同时,她也可将您公司现

C#开发微信支付之企业向用户付款

1.企业付款的介绍 所谓企业付款指的是,在功能开放后诸如保险行业的客户理赔.退保.商品退款.发放征集活动奖金.抽奖互动等操作都可以通过企业付款完成.而此前,微信支付只能提供客户向企业单向付款. 商户如果需要给用户付款,可以直接将钱打入用户的"微信零钱"中,微信支付将做零钱入账消息通知,零钱收支明细会展示相应记录.针对无零钱账户的历史客户端版本,资金将进入用户的红包账户,微信支付无消息通知用户,企业可选择自行触达用户. 通过认证的企业号可以开通微信支付功能.通过认证的企业号可以管理平台的

微信公众平台开发—利用OAuth2.0获取微信用户基本信息

1.首先在某微信平台下配置OAuth2.0授权回调页面: 2.通过appid构造url获取微信回传code值(appid可在微信平台下找到) 1).微信不弹出授权页面url: A.code回传到页面wxProcess2.aspx,不带参数 [csharp] view plain copy Response.Redirect("https://open.weixin.qq.com/connect/oauth2/authorize?appid=" + appid + "&