您所在位置:主题:Linux系统的安全加固[1]
xtpwwk
[专家分:0] 发布于 2009-05-13 14:12:00
http://www.educity.cn 作者:佚名 来源:希赛教育
一、安装和升级
使用custom自定义安装,不必要的软件包尽量不装,如有必要给lilo/grub引导器加入口令限制,安装完成后使用up2date、yum或是apt(Debian)升级系统软件,有时升级内核也是必要的。
编辑/etc/sudoers添加下面内容
jinshuai ALL=NOPASSWD:ALL
二、帐号安全
1、一般服务器都是放在IDC机房,需要通过远程访问进行管理,要限制root的远程访问,管理员通过普通帐号远程登录,然后su到root,开发人员只使用普通帐号权限。
1) 在/etc/default/login 文件,增加一行设置命令:
CONSOLE = /dev/tty01
2)可以通过下面的脚本禁止对控制台的访问:
# !/bin/sh
cd /etc/pam.d
for i in * ; do
sed '/[^#].*pam_console.so/s/^/#/' foo && mv foo $I
done
3) 通过下面的措施可以防止任何人都可以su为root,在/etc/pam.d/su中添加如下两行。
auth sufficient /lib/security/$ISA/pam_rootok.so debug
auth required /lib/security/$ISA/pam_wheel.so group=wheel
然后把您想要执行su成为root的用户放入wheel组:
usermod -G10 admin
2、编辑/etc/securetty,注释掉所有允许root远程登录的控制台,然后禁止使用所有的控制台程序,其命令如下:
rm -f /etc/security/console.apps/servicename
一、安装和升级
使用custom自定义安装,不必要的软件包尽量不装,如有必要给lilo/grub引导器加入口令限制,安装完成后使用up2date、yum或是apt(Debian)升级系统软件,有时升级内核也是必要的。
编辑/etc/sudoers添加下面内容
jinshuai ALL=NOPASSWD:ALL
二、帐号安全
1、一般服务器都是放在IDC机房,需要通过远程访问进行管理,要限制root的远程访问,管理员通过普通帐号远程登录,然后su到root,开发人员只使用普通帐号权限。
1) 在/etc/default/login 文件,增加一行设置命令:
CONSOLE = /dev/tty01
2)可以通过下面的脚本禁止对控制台的访问:
# !/bin/sh
cd /etc/pam.d
for i in * ; do
sed '/[^#].*pam_console.so/s/^/#/' foo && mv foo $I
done
3) 通过下面的措施可以防止任何人都可以su为root,在/etc/pam.d/su中添加如下两行。
auth sufficient /lib/security/$ISA/pam_rootok.so debug
auth required /lib/security/$ISA/pam_wheel.so group=wheel
然后把您想要执行su成为root的用户放入wheel组:
usermod -G10 admin
2、编辑/etc/securetty,注释掉所有允许root远程登录的控制台,然后禁止使用所有的控制台程序,其命令如下:
rm -f /etc/security/console.apps/servicename