BENET3.0 Linux网关及安全应用（S2）

BENET3.0 Linux网关及安全应用（S2）

第一章：系统安全常规优化

1.1 用户账号安全优化

   1.1.1 基本安全措施

1. 删除系统中不使用的用户和组

例1.1 禁用（锁定）zhangsan用户
[root@localhost ~]# passwd -l zhangsan

或者直接修改shadow文件，在zhangsan用户的密码字符串前添加“！”

[root@localhost ~]# vi /etc/shadow

 

         

2. 确认程序或服务用户的登录Shell不可用
usermod -s /sbin/nologin rpm   //将不需要使用终端的用户的登录Shell改为/sbin/nologin

3. 限制用户的密码有效期(最大天数)
vi /etc/login.defs             //配置文件
PASS_MAX_DAYS  30              //将用户密码的最大有效天数限制为30天
chage -M 30 zhangsan           //只对已存在的zhangsan用户有效

4. 指定用户在下次登录时必须修改密码
chage -d 0 zhangsan           //指定zhangsan用户在下次登录时必须修改密码，否则不允许登录

5. 限制用户密码的最小长度
vi /etc/pam.d/system-auth
password   requisite pam_cracklib.so try_first_pass retry=3 minlen=12
//通过PAM机制修改密码最小长度限制，强制提高用户自设密码时的安全强度

6. 限制记录命令历史的条数
vi /etc/profile
HISTSIZE=100

7. 设置闲置超时自动注销终端
vi /etc/profile
export TMOUT=600

8. 使用su切换用户身份(限制用户使用su切换用户)
gpasswd -a zhangsan wheel   //将允许使用su的用户加入wheel组
id zhangsan                 //查看zhangsan所属组
vi /etc/pam.d/su            //去掉以下这行行首的“#”字符
auth required pam_whell.so use_uid

9. 使用sudo提升执行权限
vi /etc/sudoers