linux账户及登录安全

1，删除不需要的特殊用户和用户组

• 可删除的用户：adm、lp、sync、shutdown、halt、news、uucp、operator、games、gopher等

• 可删除的用户组：adm、lp、news、uucp、games、dip、pppusers、slipusers等

• 删除命令：userdel、groupdel

2，关闭不需要的服务

chkconfig --list  查看服务
chkconfig --level 345 bluetooth off

必须运行的基本服务：

acpid：电源管理
apmd：电池性能监控
kudzu：检测硬件是否变化
crond：自动化任务管理
atd：自动化任务管理
keytables：装载键盘镜像
iptables：网络防火墙
xinetd：核心守护进程
xfs：X window 服务进程
network ：激活已经配置的网络服务
sshd：SSH远程连接服务
syslog：日志服务进程

3，密码安全策略

使用密钥认证

客户端生产密钥对

将pub文件上传至服务器，使用命令导入 ssh-keygen -i -f  xxx.pub >> ~/.ssh/authorized_keys

修改sshd的配置文件 /etc/ssh/ssh-config 

• PubkeyAuthentication yes  # 使用PublicKey认证 

• AuthorizedKeyFile  .ssh/authorized_keys  # 公钥文件位置 

• PasswordAuthentication no  #关闭密码认证 

• 重启服务  service sshd restart

• 使用客户端使用密钥认证登录

4，使用sudo赋予普通用户权利管理（基础）

场景：使用普通用户zaizai查看shadow里的文件

使用root权限编辑文件/etc/sudoers，末行添加：

zaizai  ALL =  /bin/more

zaizai  ALL = /bin/cat 

zaizai  ALL = / etc/shadow

切换到普通用户zaizai，使用sudo  more/cat命令就可以查看shadow文件中的内容了，此次的密码为仔仔用户的密码。        

5，删减系统的的登录信息

涉及系统登录信息的文件有： /etc/issue、/etc/issue.net、/etc/mote、/etc/*-release

本地终端登录显示信息的文件：/etc/issue

ssh登录显示信息的文件：/etc/issue.net

操作系统名称和版本号记录文件：/etc/*-release

系统公告信息记录文件：/etc/mote

6，禁止control+alt+delete组合键

centos 6.X 版本修改/etc/init/control-alt-delete.conf文件中的为

 #exec /sbin/shutdown -r now "Control-Alt-Delete pressed" （使用#注释掉）  

其他发行版或者centos其他版本具体方法请自行百度

更多优秀的博文请访问个人博客：www.mykernel.cn