1.删除系统中不使用的用户和组
在Linux系统中,一些程序在安装时会创建特有的用户和组,这些用户仅仅用于启动服务或进程,通常不允许登录的,例如
mysql、apache、anmed、………………当攻击者冒用这些用户或者组身份时,管理员很难发现。
禁用(锁定)XXX 用户
passwd -l XXX
或者直接修改shadow文件,在XXX用户的密码字符串前面添加“!”。
2。确认程序或服务用户的登录shell不可用
主要检查服务器运行必须的系统服务程序的运行帐号,如: rpm 、ftp、apache、dovecot、等。将这些用户的登录shell
更改为”/bin/nologin“,即可禁止登录。
将不需要使用终端的用户的登录shell改为/bin/nologin.
ftp:x:501:501::/home/shaogang:/bin/nologin 或者: usermod -s /bin/nologin ftp
3.限制用户的密码有效期(最大天数)
vim /etc/login.defs (只对新建的用户起作用)
PASS_MAX_DAYS : 最大的天数可以使用密码 : 或者 :chage -M number username(只对已存在的用户起作用)
PASS_MIN_DAYS: 最小天数之内不能更改密码
PASS_MIN_LEN : 最低可接受的密码长度
PASS_WARN_AGE: 密码到期前给予警告的天数
4.指定用户下次登录必须修改密码
chage -d 0 username
或者 :将shadow文件中xxx用户last day域(冒号“:”分割的第3列)的值设为0)
vim /etc/shadow
shaogang:$1$llRM86zW$gEqTdIaUShjS6x74PtUjS0:0:0:99999:7:::
5.限制用户密码的最小长度
在Red hat linux 系统中,主要基于cracklib模块检查用户密码的复杂性和安全强度,增加minlen(最小长度)参数的值可以有效
的提密码的安全性。缺省情况下,minlen的默认值为10,对应的用户口令最短长度约为6(需要注意,cracklib基于密码串长度
和复杂性同时进行检查,因此minlen的值并不直接代表用户设置密码的长度)。
通过PAM(可插拔认证模块)机制修改密码最小长度限制,强制提高用户自设密码时的安全强度(密码太短或太简单时将不成功)
vim /etc/pad.d/system-auth
password requisite pam_cracklib.so try_first_pass retry=3 minlen=10
6,限制记录命令历史的条数
vim /etc/profile
HESTSIZE=N
或者设置用户在注销登录后自动清空命令历史记录
ehco "history -c" >>~/.bash_logout
7.闲置时超时时自动注销终端
vim /etc/profile
exprot TMOUT=600(秒) (用户从新登录后生效)