系統和使用者管理基礎
一、使用者安全
/etc/securetty 檔案
列出了root登陸時使用的tty裝置。應該僅包括本地控制台。
示例檔案(已經修改過了):
# /etc/securetty: list of terminals on which root is allowed to login.
# see securetty(5) and login(1).
console
# for people with serial port consoles
ttys0
# for devfs
tts/0
# standard consoles
tty1
tty2
tty3
# same as above, but these only occur with devfs devices
vc/1
vc/2
vc/3
如果檔案內容為空,則在多使用者級別下,只能通過su命令使用root許可權。
/etc/skel/.bash_logout
在該檔案中加入一行:
/usr/bin/clear
這樣使用者在退出自己的shell是可以清除螢幕顯示的內容。
/etc/shells
將檔案中只留下下面一行作為使用者預設shell:
/bin/bash
sysv初始化程序
1、系統啟動程序的/etc/inittab檔案:
示例檔案如下:
l0:0:wait:/etc/init.d/rc 0
l1:1:wait:/etc/init.d/rc 1
l2:2:wait:/etc/init.d/rc 2
l3:3:wait:/etc/init.d/rc 3
l4:4:wait:/etc/init.d/rc 4
l5:5:wait:/etc/init.d/rc 5
l6:6:wait:/etc/init.d/rc 6
執行級別即前兩個冒號中間的數字,每個執行級別都將呼叫乙個指令碼,即
/etc/init.d/rc,並且執行級別將作為引數傳遞給該指令碼。
指令碼目錄或許是/etc/rc.d/rc0.d到/etc/rc.d/rc6.d。某些linux可能放在
/etc/rc0.d到/etc/rc6.d中。
禁止不需要的服務:
cd /etc/init.d/rc2.d
mkdir disable
mv s91apache disable
reboot
重啟系統後上述修改才生效。
啟用被禁止的服務:
cd /etc/init.d/rc2.d
mv disable/s91apache ./
安全的建立使用者賬號
確定系統支援shadow passwd
檢查/etc/shadow是否存在
/etc/shadow應該只對root可讀
如果/etc/shadow檔案不存在或者普通使用者可讀該檔案則系統沒有安裝shadow
或者安裝不正確。
新增使用者
(1)、建立組
檢視目前使用的最大的組號碼:
cat /etc/group |cut -d:-f3 |sort -n
建組:/usr/sbin/groupadd -g 6001 username
(2)、建立使用者
/usr/sbin/useradd -u 6001 -g username /
-d /home/username -m username
、修改密碼passwd並使用chage命令設定策略
passwd username
chage -m 0 -m 90 -d 0 -i 0 -e 0 -w 10 username
Linux系統安全加固基礎
注 建議在修改相關配置檔案時,首先對需要修改檔案進行備份。1 ssh遠端連線 vi etc sshd sshd config port 65531 修改ssh埠,預設22 listenaddress 192.168.1.x 允許ssh登入的ip位址 permitrootlogin no 禁止root...
linux系統安全詳解
與系統安全相關的幾個檔案 鎖定使用者密碼 passwd l username 解鎖使用者密碼 usermod u username passwd u username 使用者檔案管理 檔案鎖定 使用者密碼管理 命令歷史管理 su命令管理 sudo命令詳解 sudo 當前使用者,能夠以另外乙個指定使用...
Linux 系統安全加固
1,變更預設的ssh服務埠,禁止root使用者遠端連線 1 2 3 4 5 6 7 root ljohn cp etc ssh sshd config etc ssh sshd config.bak root ljohn vim etc ssh sshd config port 10022 ssh連...