linux账户及登录安全

1,删除不需要的特殊用户和用户组

  • 可删除的用户:adm、lp、sync、shutdown、halt、news、uucp、operator、games、gopher等

  • 可删除的用户组:adm、lp、news、uucp、games、dip、pppusers、slipusers等

  • 删除命令:userdel、groupdel


2,关闭不需要的服务

chkconfig --list  查看服务
chkconfig --level 345 bluetooth off


必须运行的基本服务:

acpid:电源管理
apmd:电池性能监控
kudzu:检测硬件是否变化
crond:自动化任务管理
atd:自动化任务管理
keytables:装载键盘镜像
iptables:网络防火墙
xinetd:核心守护进程
xfs:X window 服务进程
network :激活已经配置的网络服务
sshd:SSH远程连接服务
syslog:日志服务进程


3,密码安全策略

使用密钥认证

客户端生产密钥对

将pub文件上传至服务器,使用命令导入 ssh-keygen -i -f  xxx.pub >> ~/.ssh/authorized_keys

修改sshd的配置文件 /etc/ssh/ssh-config 

  • PubkeyAuthentication yes  # 使用PublicKey认证 

  • AuthorizedKeyFile  .ssh/authorized_keys  # 公钥文件位置 

  • PasswordAuthentication no  #关闭密码认证 


  • 重启服务  service sshd restart

  • 使用客户端使用密钥认证登录


4,使用sudo赋予普通用户权利管理(基础)


场景:使用普通用户zaizai查看shadow里的文件

使用root权限编辑文件/etc/sudoers,末行添加:

zaizai  ALL =  /bin/more

zaizai  ALL = /bin/cat 

zaizai  ALL = / etc/shadow

切换到普通用户zaizai,使用sudo  more/cat命令就可以查看shadow文件中的内容了,此次的密码为仔仔用户的密码。        

5,删减系统的的登录信息

涉及系统登录信息的文件有: /etc/issue、/etc/issue.net、/etc/mote、/etc/*-release

本地终端登录显示信息的文件:/etc/issue

ssh登录显示信息的文件:/etc/issue.net

操作系统名称和版本号记录文件:/etc/*-release

系统公告信息记录文件:/etc/mote

6,禁止control+alt+delete组合键

centos 6.X 版本修改/etc/init/control-alt-delete.conf文件中的为

 #exec /sbin/shutdown -r now "Control-Alt-Delete pressed" (使用#注释掉)  

其他发行版或者centos其他版本具体方法请自行百度

更多优秀的博文请访问个人博客:www.mykernel.cn

你可能感兴趣的:(安全,登录,密码,sudo)