linux系统安全

1. 安全设置

禁用或删除无用账户
userdel 用户名 删除账号
passwd -l 用户名 锁定账号
passwd -u 用户名 解锁账号

useradd 用户名
cat /etc/passwd
cat /etc/shadow
密码位两个叹号表示无密码且账户锁定
两个叹号+加密密码表示有密码但锁定
passwd 用户名  设密码
passwd 默认给当前用户设置密码

ls /home/ 会显示账户目录
userdel -r 用户名 会删除账户及目录

检查特殊账号

查看空口令账号
awk -F: '($2=="")' /etc/shadow
查看UID为0的账号  0-199为系统预留
awk -F: '($3=="0")' /etc/passwd 正常只有root

添加口令策略
vi /etc/login.defsf 
PASS_MAX_DAYS 30 30天后必须改密码
PASS_MIN_LEN 5 密码最短长度
PASS_WARN_AGE 7 密码到期前7天警告
UID_MIN 1000  创建的普通用户最小UID
UMASK 077 默认缺少的权限 

chage命令修改用户设置
chage -m 0 -M 30 -E 2000-01-01 -w 7 用户名
-m 最小几天可改
-M 最多几天必须改
-E 到期
-W 警告

设置用户锁定
vim /etc/pam.d/system-auth
设定输入密码有6次机会，锁定时间300秒
auth required pam_tally.so onerr=fail deny=6 unlock_time=300

限制用户su
vi /etc/pam.d/su
允许test组su到root
auth required pam_wheel.so group=test

关闭不必要的服务
chkconfig --level <init级别> <服务名> on|off|reset
ntsysv 类图形界面管理模式

ssh
vim /etc/ssh/sshd_config
修改默认端口
#Port 22 注释状态 修改的话在下面直接加即可 
禁止root用户远程登录
PermitRootLogin no
禁止空密码用户登录
PermitEmptyPasswords no
PermitAuthentication yes
限制密码输入次数
MaxAuthTries 

设置umask
vim /etc/profile
if  UID>199
    umask 002
else  umask 077
修改后使生效
. /etc/profile    或
source /etc/profile

登陆超时
vim /etc/profile
TMOUT=180
无操作3min则断开