Linux系统安全设置

1.禁止系统响应从外部/内部来的ping请求
 在终端下输入sysctl -w net.ipv4.icmp_echo_ignore_all=1  若要开Ping 把1改成0就行了
 默认情况下icmp_echo_ignore_all的值为“0”，表示响应ping值
 可以添加到/etc/rc.d/rc.local文件中，以使每次系统启动后自动运行
2.删除系统默认的不必要的用户和组
 删除的用户，如adm、lp、sync、shutdown、halt、news、uucp、operator、games、gopher等
 删除的组：如adm、lp、news、uucp、games、dip、pppusers、popusers、slipusers等
3.修改ssh端口

 编辑/etc/ssh/sshd_config 把#Port 22前注释去掉，加上Port 888 重启ssh服务，使用888端口ssh
 成功后，把Port 22删除
4.取消root登录
 编辑/etc/ssh/sshd_config,把PermitRootLogin yes前面注释去掉，并修改成no，然后重启sshd服

 务,并且创建一个用户用来ssh切换到root用户。
5.设置特定组可以su到root
 编辑 /etc/pam.d/su文件，找到这行auth            required        pam_wheel.so use_uid 把
 前面的注释去掉，同时把授权的用户添加到wheel组就行了 usermod -a -G wheel username。
6.启用iptables防火墙
 根据具体要求来具体设置，基本对一些端口进行开启和关闭。
7.只允许对root对/etc/init.d/下服务进行操作
 chmod 700 -R /etc/init.d/
8.限制shell历史记录命令大小
 编辑/etc/profile文件，把默认的HISTSIZE=1000改为HISTSIZE=50
9.使用yum update更新系统时不升级内核，只更新软件包
 编辑yum的配置文件/etc/yum.conf 在[main]的最后添加exclude=kernel*
10.Selinux修改
  修改/etc/selinux/config 修改成SELINUX=disabled
11.转发重要或者错误日志到自己邮箱
  编辑/etc/aliases 在mailer-daemon:postmaster postmaster: root下面加入root:你的邮箱
12.不允许从不同的控制台进行root登陆
  编辑/etc/securetty，把禁止登录的tty设备前加#号进行注释。
13.设置允许ssh远程的IP
  在iptables加规则 iptables -A INPUT -i eth0 -p tcp 22 -s 网段/ip  -j ACCEPT。
14.强制使用复杂密码
  先通过rpm -qa | grep cracklib 查询一下cracklib是否安装，然后编辑/etc/pam.d/system-  
  auth，将password    requisite     pam_cracklib.so try_first_pass retry=3 修改成

  password    requisite     pam_cracklib.so try_first_pass retry=3 minlen=8 difok=5

15.设置自动注销帐号的登录
  编辑/etc/profile文件，在HISTSIZE后面加入TMOUT=300这行，表示登录用户在300s内没有操作，

  系统就自动注销这个账户
16.阻止任何人su到root
  编辑/etc/pam.d/su，添加以下两行
  auth sufficient /lib/security/$ISA/pam_rootok.so debug
  auth required /lib/security/$ISA/pam_wheel.so group=wheel意味着只有wheel组内的用户才可

  以su到root