1、账号安全
系统账号清理
将非登录用户shell设为/sbin/nologin
2、锁定长期不使用的账号
3、删除无用的账号
锁定账号文件passwd、shadow
锁定:chattr?+i?/etc/passwd?/etc/shadow
解锁;chattr -i?/etc/passwd?/etc/shadow
查看:?lsattr?/etc/passwd?/etc/shadow
密码安全:
设置密码有效期:?2种方式:
对新建用户设置:?vim?/etc?login.defs
PASS_MAX_DAYS 30
对已创建的用户:chage?-M?30?用户名
用户下次登录时修改密码:?chage?-d 0?用户名
历史命令限制:
减少命令历史数量:HISTSIZE=200
自动清空历史命令:history
终端自动注销:TMOUT=10(秒)
2、SU命令安全
SU:切换用户
两种格式:?SU?用户名:?切换用户但不更改环境变量
su - 用户名:?完整切换
普通用户切换其他用户需要对方密码
root用户切换无需密码 限制用户使用SU命令:?启用pam_wheel模块,只允许wheel组使用SU命令
vim?/etc/pam.d/su
#auth?required?pam_wheel.so?use_uid(删掉#号)
gpasswd?-a?用户名 wheel(将用户加入组)
日志文件:/var/log/secure
3、sudo:提升权限
语法:?sudo?授权命令的绝对路径
需要输入本人密码
sudo配置文件:/etc/sudoers
打开方式:visudo
vim?/etc/sudoers
格式:?用户列表主机名列表=?权限列表
例:?hanming?ALL=/usr/sbin/useradd
*匹配任意
%组名:?代表组 ALL代表所有
NOPASSWD:?命令:?无需密码就可执行
列表可设置为别名:
User_alias
Host_alias
Cmnd_alias
sudo?-1:查看sudo命令权限
sudo?-k:清除密码缓存,默认缓存5分钟
日志文件:/var/log/sudo
需要Defaults?logfile配置
(Defaults?logfile=/var/log/sudo)
4、开关机安全
调整Bios设置:
禁止从其他设备引导
设置Bios密码
禁用Ctul+Alt+Del重启
vim?/etc/init/control-alt-delete.conf
grub菜单限制:
在title前设置密码:?禁止更改参数
在title后设置密码:?禁止进入系统
密码方式:?明文:?passwd?密码
密文:?用grub-md5-crypt生成
vim?/boot/grub/grub.conf
password?-md5?密码字串
5.终端安全登录:
减少开放的终端数:/etc/init/start-ttys.conf
etc/sysconfig/init
ACTIVE_CONSOLES=/dev/tty[456]
限制root用户使用的终端:/etc/securetty
禁止普通用户登录:建立etc/nologin文件
touch?/etc/nologin
删除即可恢复登录
rm -f /etc/nologin
6、系统弱口令检测:?John?the?Ripper?简称JR
开源软件,支持字典式的暴力破解,支持des和md5的加密破解
命令名为:john
破解命令:./john --wordlist=password.lst /etc/shadow
破解后密码保存在john.pot文件中,可用./john?--show?/etc/shadow查看
7、NMAP:网络端口扫描
是一款强大的网络扫描安全检测工具,可扫描TCP/UDP的端口
扫描类型:
-sS:SYN?扫描
-sT:TCP?扫描
-sF:FIN?扫描
-sU:UDP?扫描
-sP:ICMP?扫描
-PO:跳过ping检测
-p:?扫描端口
-n:禁用反向解析系统安全及应用
原文:http://blog.51cto.com/13502820/2066793