整理linux网关与安全第一章
作者 佚名技术
来源 Linux系统
浏览
发布时间 2012-03-24
******锁定解锁用户 1:passwd -l user passwd -u user 2:usermod -L user usermod -U user 3:vim /etc/shadow 在用户前面加上!即可 *******用户禁止登陆 1:passwd -s /sbin/nologin user 2:vim /etc/passwd 在用户后面指定shell 即可 ********限制用户密码最大有效期限 1:vim /etc/login.defs 修改PASS_MAX_DAYS 30 只对修改后创建的用户有效 2:chage -M 30 user 只对已经存在的用户有效果 ********指定用户下次登陆时候  修改密码
1:chage -d 0 user
2:vim /etc/shadow 修改用户:后面的三列为0
*******************通过pam机制修改密码最小长度
1:vim /etc/pam.d/system-auth 中的PASSWD列添加minlen=10 (并不直接带表用户设置密码长度)
**************限制记录命令历史条数
1:vim /etc/profile HISTSIZE=100 默认1000条
2:echo "history -c" >> ~/.bash_logout 用户注销登陆后自动清空命令历史记录
****************闲置超时自动注销终端
1:vim /etc/profile 添加全局超时自动注销
export TMOUT=600
************* su 命令
1:su user 切换用户但不切换环境变量(即可以使用ROOT命令)
2:su - user 切换用户和环境变量
***************只允许特定的用户使用su命令
1:vim /etc/pam.d/su 去掉第6行的注释
2:gpasswd -a user wheel 将允许的用户添加到wheel组-d 删除
*********************** sudo 提升其他用户执行权限
1:使用之前先chmod 777 /etc/sudoers 然后vim
格式: user ALL=NOPASSWD:NETWORKING
user ALL(来自那)=NETWORKING(做什么NETWORKING为系统默认的模板)
NOPASSWD:ALL (不需要密码就可以执行************************************************关闭不需要的系统服务 ntsysv chkconfig ******************************************禁止普通用户执行init.d目录中的脚本 chmod -R 750 /etc/init.d -R为递归继承 *******************************************禁止普通用户执行控制台程序 /etc/security/console.apps/下 的程序普通用户都可以执行 删除不用的程序 如reboot poweroff half *******************************************去除程序文件中非 的权限find / -type f -perm 6000 -exec ls -lh {} \; -type 类型 f文件 suid 4 sgid 2 set粘贴位1 上例可以将找到的系统默认文件重定向到新文件中 定时对比 发现可疑文件 没用的可以直接删除掉 有用的可以 chmod a-s /xxx/xxx.xxx 去掉suid sgid 权限 SHELL脚本 #! /bin/bash a=/etc/a for i in `find / -type f -perm 6000` do grep -F ''$i'' $a >/dev/null [ $? -ne 0 ] && ls -lh $i done **************************************greb引导菜单加密 vim /boot/grub/grub.conf 明文加密 title上添加password 123 密文加密  运行grub-md5-crypt然后打开文件 添加 password --md5 粘贴上上一步出来的密文 *********************************************即时禁止普通用户登录 touch /etc/nologin 建立文件即可 (root不受限制) *******************************************控制服务器开放的TTY终端 vi /etc/inittab 去掉 TTY 的注释 刷新 init q 即可 *****************************************控制允许root用户登录的TTY终端 只对root有效 vim /etc/securetty 去掉相应行或者注释 ********************************************更改系统登录提示隐藏内核版本信息 对本地登录显示/etc/issue 对网络登录显示/etc/issue.net **********************************************使用pam_access 认证控制用户登录地点 允许 -拒绝 用户 all所有 组名也行 来源 tty1 ip/24 表示 例:- : root execpt yangjun : 192.168.0.1/24 192.168.0.2/24 拒绝root除了yangjun的用户可以从192.168.0.1/24 或者从192.168.0.2/24 登录到系统中 |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
你可能对下面的文章感兴趣
关于整理linux网关与安全第一章的所有评论
