Linux(RHEL5)系统安全常规优化
基本安全措施
1. 删除或禁用系统中不使用的用户和组
# passwd -l wang //禁用账户wang
# passwd -u wang //解锁账户wang
或
# vi /etc/shadow //保存时为 :wq! 因为文件为只读
在密码字符前加两个叹号!
2. 确认程序或服务的登录shell不可用
# vi /etc/passwd //将用户的登录shell改为/sbin/nologin
或
# usermod -s /sbin/nologin wang
3. 限制用户的密码有效期(最大天数)
# vi /etc/login.defs //只对新建立的用户有效
PASS_MAX_DAYS 30
或
# chage -M 30 wang //只对已经存在的wang用户有效
4. 指定用户下次登录时必须更改密码
# chage -d 0 wang
或
# vi /etc/shadow
//将shadow文件中wang用户LAST DAY 域(冒号 :分割的第三列)的值设为0
5. 限制用户密码的最小长度
# vi /etc/pam.d/system-auth
password requisite pam_cracklib.so try_first_pass retry=3 minlen=12
retry 重试时间 minlen 安全级别
6. 限制记录命令历史的条数
# vi /etc/profile
HISTSIZE=50 (默认为1000)
# echo “history -c “ >> ~/.bash_logout //注销时清除命令历史记录
7. 设置闲置超时自动注销终端
# vi /etc /profile
export TMOUT=600 //添加此行使用SU切换用户身份
su [-] 用户名
[-] 区别 :
使用:相当于 - -login,表示使用目标用户的登录shell环境,工作目录,PATH变量等
不使用: 保持原有的用过环境不便
案例说明su的使用方法
允许wang用户可以通过su命令切换为root身份,以便执行管理任务
禁止其他用户使用su命令切换用过身份
(1) 将允许用户加入wheel组
# gpasswd -a wang wheel
# id wang //查看wang用户的附加组
(2) 修改PAM设置,添加pam_wheel认证
# vi /etc/pam.d/su
auth required pam_wheel.so use_uid //去掉该行的#号
(3) 验证su权限
? 使用sudo提升执行权限
1./etc/sudoers配置文件---------visudo
sudo命令提供一种机制,只需要预先在/etc/sudoers配置文件中进行授权,即可以允许特定用户以超级用户(或其他普通用户)的身份执行命令,而该用户不需知道root用户的密码(或其他用户)的密码。常见语法格式如下:
user MACHINE=COMMANDS
user: 授权指定用户
MACHINE主机: 授权用户可以在哪些主机上使用
COMMANDS命令:授权用户通过sudo调用的命令,多个命令用 , 分隔
/etc/sudoers文件配置中的用户、主机、命令三个部分均为可以自定义别名进行代替,格式如下
User_Alias OPERATORS=jerry, tom, tsengyia
Host_Alias MAILSERVERS=smtp , pop
Cmnd_Alias SOFTWARE=/bin/rpm , /usr/bin/yum
2.使用sudo执行命令
sudo -l :查看当前用过被授权使用的sudo命令
sudo -k :清除timestamp时间戳标记,再次使用sudo命令时需要重新验证密码
sudo -v :重新更新时间戳(必要时系统会再次询问用户密码)
案例说明:
因系统管理工作繁重,需要将用户账号管理工作交给专门管理组成员负责
设立组账号 managers ,授权组内的各个成员用户可以添加、删除、更改用户账号
(1) 建立管理组账户 managers
# groupadd managers
(2) 将管理员账号,如wang加入managers组
# gpasswd -M wang.nan managers
(3) 配置sudo文件,针对managers组开放useradd 、 userdel 等用户管理命令的权限
# visudo
Cmns_Alias USERADM = /usr/sbin/useradd , /usr/sbin/userdel , /usr/sbin/usermod
%managers localhost = USERADM
(4) 使用wang账号登录,验证是否可以删除他、添加用户
# su - wang
- 最新评论