BENET3.0 Linux网关及安全应用（S2）

BENET3.0 Linux网关及安全应用（S2）

第一章：系统安全常规优化

1.1 用户账号安全优化

1.1.1 基本安全措施

1. 删除系统中不使用的用户和组

例1.1 禁用（锁定）zhangsan用户

[root@localhost ~]# passwd -l zhangsan

或者直接修改shadow文件，在zhangsan用户的密码字符串前添加“！”

[root@localhost ~]# vi /etc/shadow

2. 确认程序或服务用户的登录Shell不可用

usermod -s /sbin/nologin rpm //将不需要使用终端的用户的登录Shell改为/sbin/nologin

3. 限制用户的密码有效期(最大天数)

vi /etc/login.defs //配置文件

PASS_MAX_DAYS 30 //将用户密码的最大有效天数限制为30天

chage -M 30 zhangsan //只对已存在的zhangsan用户有效

4. 指定用户在下次登录时必须修改密码

chage -d 0 zhangsan //指定zhangsan用户在下次登录时必须修改密码，否则不允许登录

5. 限制用户密码的最小长度

vi /etc/pam.d/system-auth

password requisite pam_cracklib.so try_first_pass retry=3 minlen=12

//通过PAM机制修改密码最小长度限制，强制提高用户自设密码时的安全强度

6. 限制记录命令历史的条数

vi /etc/profile

HISTSIZE=100

7. 设置闲置超时自动注销终端

vi /etc/profile

export TMOUT=600

8. 使用su切换用户身份(限制用户使用su切换用户)

gpasswd -a zhangsan wheel //将允许使用su的用户加入wheel组

id zhangsan //查看zhangsan所属组

vi /etc/pam.d/su //去掉以下这行行首的“#”字符

auth required pam_whell.so use_uid

9. 使用sudo提升执行权限

vi /etc/sudoers