系统安全小常识

 

                             Linux运维人员应该知道的系统安全小常识

一、 用户账号安全优化

1、基本安全措施

（1）删除系统中不实用的用户跟组

User命令

     Useradd 添加用户

     Userdel  删除用户

     Usermod 更改用户

Groupadd 添加组类似

   

           （2）确认程序和服务用户的登录shell不可用

                Cat /etc/passwd | grep bash

                更改用户shell使其不可登录

                Useramod  –s  /sbin/nologin test

         

           （3）限制用户的密码的有效天数（最大天数）

                Vi  /etc/login.defs

                PASS_MAX_DAYS   99999

PASS_MIN_DAYS   0

ASS_MIN_LEN    5

 

           （4）指定用户下次登录时必须修改密码

 

           （5）限制用户密码的最小长度

                Vim /etc/pam.d/system-auth

                password  requisite  pam_cracklib.so try_first_pass  retry=3  minlen=12

            

           （6）限制记录历史命令的条数

                Vi /etc/profile

                HOSTNAME=`/bin/hostname`

HISTSIZE=1000

           

           （7）设置限制超时自动注销终端（重启生效）

 

        2、文件跟文件系统的优化

           （1）主要就是锁定文件

                Chattr  +i  /etc/passwd  /etc/services  /boot/grub

           

           （2）应用程序跟服务的安全优化

                * 关闭不用的服务，少开端口，有防火墙保护，使用chkconfig 跟ntsysv命令 工具来管理。

                * 禁止普通用户执行init.d目录的脚本

去除普通用户对/etc/init.d目录中文件的读写执行权限

          

（3） 禁止普通用户执行控制台程序

      Linux系统中，普通用户可以运行一些如setup、serviceconf、halt、reboot等程序，该功能是由confolehelper（控制台猪手）提供。普通用户执行系统程序是否要输入root密码是根据/etc/security/console.apps/目录的配置文件决定的。

       禁止普通用户执行这些

       Cd  /etc/security/console.apps

       打包备份然后移除原先的。

             

            （4） 去除文件中非必须的set-uid set-gid 附加权限（陈明讲解）：

                  Find / -type f –perm +6000 –exec ls –lh {} \;

                  然后去掉要去掉的：

                  Chmod a-s /usr/bin/at

 

          3、系统引导和登录安全优化：

            （1） 调整BIOS引导设置、防止用户通过ctrl+alt+del热键重新启动系统，将第一优先引导设备（fisrt boot device）设为当前系统所在硬盘，其他引导设置为“disabled”，为BIOS设置管理员密码，安全级别调整为“setup”,注销热键。

            （2） 终端及登录控制

                  *更改系统登录提示，隐藏内核版本信息

                    Cat /etc/issue

                  *pam_access认证控制用户登录地点：