我的工作是linux系統管理員,所以平時經常關注的也是linux系統了。下面我就我常在工作中用的系統安全以及優化方面的方法做一下注釋。
1,禁止使用contral+alt+delete重起機器;這麼做可以防止我們的機器被重啓。
編輯/etc/inittab文件,註釋掉下面一行.
ca::ctrlaltdel:/sbin/shutdown -t3 -r now
該成:(使用#)
# ca::ctrlaltdel:/sbin/shutdown -t3 -r now
ca::ctrlaltdel:/sbin/shutdown -t3 -r now
該成:(使用#)
# ca::ctrlaltdel:/sbin/shutdown -t3 -r now
2、帳號安全
口令,系統的第一道防線,目前大多數數***都是截獲口令或猜測口令等口令***開始的.
/etc/login.defs文件是login程序的配置文件.口令的長度和口令的有效期等可以在這裏設置
[root@test ~]# vi /etc/login.defs
...
PASS_MAX_DAYS 9999 密碼被用最多天數
PASS_MIN_DAYS 0 密碼被用最少天數
PASS_MIN_LEN 5 系統默認密碼長度5,我們可以該成8或更多.
PASS_WARN_AGE 7 密碼有效期警告,超過7天將提示用戶更換新的密碼
...
PASS_MAX_DAYS 9999 密碼被用最多天數
PASS_MIN_DAYS 0 密碼被用最少天數
PASS_MIN_LEN 5 系統默認密碼長度5,我們可以該成8或更多.
PASS_WARN_AGE 7 密碼有效期警告,超過7天將提示用戶更換新的密碼
/etc/profile文件是環境變量設置文件.在此文件設置環境變量將對所有用戶生效.我們要在此文件設置自動
註銷帳戶的時間.及命令的歷史記錄數.
[root@test ~]# vi /etc/profile
...
HOSTNAME=`/bin/hostname`
HISTSIZE=1000 這裏1000代表用戶操作命令的歷史記錄.應儘量小一些.設置成0也可以,呵呵.
tmout=60 添加此行,如果系統用戶在600秒(1分鐘)內不做任何操作,將自動註銷這個用戶.
...
HOSTNAME=`/bin/hostname`
HISTSIZE=1000 這裏1000代表用戶操作命令的歷史記錄.應儘量小一些.設置成0也可以,呵呵.
tmout=60 添加此行,如果系統用戶在600秒(1分鐘)內不做任何操作,將自動註銷這個用戶.
/etc/passwd文件存放系統用戶名,用戶標識(UID),組標識(GID)等的地方
/etc/shadow文件是存放系統用戶的密碼加密的文件
/etc/group文件是存放系統組用戶的信息
/etc/gshadow文件是存放系統組用戶的密碼加密的文件
爲了防止惡意修改我們可以給以上幾個文件只讀的屬性。
chattr +i /etc/passwd
禁止su命令
如果不想一些人使用"su"命令成爲root或切換到其他用戶,那麼在"/etc/pam.d/su"做一些修改就可以。這些可以提高系統的安全性。
在/etc/pam.d/su下添加這兩行:
auth sufficient /lib/security/$ISA/pam_rootok.so
auth required pam_wheel.so use_uid group=admin
// group=admin指定被允許的組,僅允許admin組的成員su成root
首先創建一個admin組
#addgroup admin
把允許可以使用su命令的用戶加入admin組,如test,test2;test是admin組,而test2不屬於admin組的。
#usermod -G admin test
在/etc/pam.d/su下添加這兩行:
auth sufficient /lib/security/$ISA/pam_rootok.so
auth required pam_wheel.so use_uid group=admin
// group=admin指定被允許的組,僅允許admin組的成員su成root
首先創建一個admin組
#addgroup admin
把允許可以使用su命令的用戶加入admin組,如test,test2;test是admin組,而test2不屬於admin組的。
#usermod -G admin test