密码安全控制
将密码的有效期设为30天:vim/etc/login.defs
将有效期30天应该在lisi用户:chage –M30 lisi
某些特殊情况下,如要求批量创建的用户初次登录时必须自设密码,根据安全规划统一要求所有用户更新密码,可以有管理员执行强制策略,以便用户在下次登录时必须更改密码:
Chage–d 0 lisi
命令历史,自动注销。
Shell环境的命令历史机制为用户提供了极大的便利。但服务器的安全壁垒多了一个缺口。Bash终端环境中,历史目录的记录条数有变量HISTSIZE控制。默认为1000条。通过修改/etc/profile文件中的HISTSIZE变量值,可以影响系统中的所有用户:
还可以修改宿主目录中的~/.bash_logout文件,添加清空历史命令的操作语句:
Bash终端环境中,还可以设置一个闲置超时时间,当超过指定的时间没有任何输入时即自动注销终端,可以有效避免当管理员不在时其他人员对服务器的误操作风险。Vim /etc/profile exportTMOUT=600
用户切换与提权
su命令主要用来切换用户,而sudo命令用来提升执行权限
su命令:切换为指定的另一个用户,从而具有该用户的所有权限。
选项“-”等同于“--login”或“-l”,表示切换用户后进入目标用户的登录shell环境,若缺少此选项则及切换身份,不切换用户环境。切换root用户,可以省略。
借助于pam_wheel认证模块,只允许各别用户使用su命令切换。实现过程:将授权使用su命令的用户添加到wheel组,修改/etc/pam.d/su认证。
sudo命令——提升执行权限
通过su命令可以非常方便地切换为另一个用户,但前提条件是必须知道目标用户的登录密码
配置文件/etc/sudoers中添加授权
Sudo机制的配置文件为/etc/sudoers,文件多大默认权限为440,需使用专门的visudo工具进行编辑。
授权的基本配置格式:
userMACHINE=COMMANDS
用户(user):授权的用户名,或采用“%组名”的形式
主机(MACHINE):使用此配置文件的主机名称,方便在多个主机间共用同一份sudoers文件,一般设为localhost文件
命令(COMMANDS):允许授权的用户通过sudo方式执行的特权命令,需填写命令程序的完整路径,多个命令之间以逗号进行分隔
授权用户较多,或者授权的命令较多时,可以采用集中定义的别名。用户,主机,命令部分都可以定义为别名,分别通过关键字user_Alias,Host_Alias,Cmnd_Alias来进行设置。
User_Alias OPERATORS=jerry,tom,tsengyia
Host_Alias MAILSVRS=smtp,pop
Cmnd_Alias PKGTOOLS=/bin/rpm,/usr/bin/yum
OPERATORS MAILSVRS=RKGTOOLS
Sudo配置记录的命令的部分允许使用通配符“*”,取反符号“!”,当需要授权某个目录下的所有命令或取消其中个别命令是特别有用。
通过sudo执行特权命令:只需要将正常的命令行作为sudo命令的参数即可。由于特权命令程序通常位于/sbin,/usr/sbin等目录下。普通用户执行是应使用绝对路径。
权限不够
“sudo -l”命令可以看见已授权用户的sudo配置
系统引导和登录控制
开关机安全控制
调整bios引导设置
将第一优化引导设备设为当前系统所在磁盘
禁止从其他设备(光盘,U盘,网络等)引导系统,对应先设为“disabled”
将bios的安全级别改为“setup”,并设置管理密码,防止未授权修改。
禁止ctrl+alt+del快捷键重启
快捷键的位置更改为/etc/init/control-alt-delete.conf,注释里面的信息即可。
限制更改GRUB引导参数。
MD5算法加密的字符串:“grub-md5-crypt”
引导过程的安全控制,在“/boot/gurb/grub.conf”文件文件可以为GRUB菜单设置一个密码。
重新开机按e进入GRUB菜单,直接按e将无法修改引导参数。需要按p键输入正确的GRUB密码。然后按e 添加1. 回车。按b,进入。输入root passwd
终端及登录控制
/etc/init/tty.conf //控制tty终端的开启
/etc/init/start-ttys.conf //控制tty终端的开启数量,设备文件
/etc/sysconfig/init //控制tty终端的开启数量,终端颜色
禁止root用户登录
Linux系统中,login程序会读取/etc/securetty文件,以决定允许root用户从哪些终端登录系统。
禁止普通用户登录
login程序会检查/etc/nologin文件是否存在,如果存在则拒绝普通用户登录系统。