linux服務器基本安全設置

linux服務器基本安全設置

一、基本安全
 
1、賬號安全
 
將非登錄用戶的Shell設為/sbin/nologin，
 
鎖定長期不使用的賬號，
 
刪除無用的賬號
 
鎖定賬號文件passwd、shadow
 
鎖定文件並查看狀態
 
[root@localhost ~]# chattr +i /etc/passwd /etc/shadow
 
[root@localhost ~]# lsattr /etc/passwd /etc/shadow
 
—-i——– /etc/passwd
 
—-i——– /etc/shadow
 
解鎖文件並查看狀態
 
[root@localhost ~]# chattr -i /etc/passwd /etc/shadow
 
[root@localhost ~]# lsattr /etc/passwd /etc/shadow
 
————- /etc/passwd
 
————- /etc/shadow
 
2、密碼安全
 
設置密碼有效期
 
要求用戶下次登錄時修改密碼
 
適用於新建用戶：
 
[root@localhost ~]# vi /etc/login.defs
 
……
 
PASS_MAX_DAYS    30
 
適用於已有用戶：
 
[root@localhost ~]# chage -M 30 lisi
 
強制在下次登錄時更改密碼
 
[root@localhost ~]# chage -d 0 zhangsan
 
3、命令歷史、自動注銷
 
命令歷史限制
 
減少記錄的命令條數
 
注銷時自動清空命令歷史
 
[root@localhost ~]# vi /etc/profile
 
……
 
HISTSIZE=200
 
[root@localhost ~]# vi ~/.bash_logout
 
……
 
history -c
 
clear
 
終端自動注銷：
 
閒置600秒後自動注銷
 
[root@localhost ~]# vi ~/.bash_profile
 
……
 
export TMOUT=600
 
4、su命令的控制
 
用途及用法
 
用途：Substitute User，切換用戶
 
格式：su - 目標用戶
 
密碼驗證
 
root  到à 任意用戶， 不驗證密碼
 
普通用戶 à
 
其他用戶，驗證目標用戶的密碼
 
限制使用su命令的用戶
 
啟用pam_wheel認證模塊
 
將允許使用su命令的用戶加入wheel組
 
[root@localhost ~]# vi /etc/pam.d/su
 
#%PAM-1.0
 
auth        sufficient  pam_rootok.so
 
auth        required    pam_wheel.so use_uid
 
……
 
[root@localhost ~]# gpasswd -a tsengyia wheel
 
tsengyia
 
正在將用戶“tsengyia”加入到“wheel”組中
 
查看su操作記錄
 
安全日志文件：/var/log/secure
 
[root@localhost ~]# tail /var/log/secure
 
……
 
May  13 18:05:51 mail su: pam_unix(su-l:session): session opened for user root by tsengyia(uid=1006)
 
May  13 18:07:34 mail su: pam_unix(su-l:session): session opened for user jerry by tsengyia(uid=1006)
 
5、使用sudo機制提升權限
 
用途及用法
 
用途：以其他用戶身份（如root）執行授權的命令