[align=left]系统安全常规优化[/align]
|
[align=left] su、sudo实验一:使用 su sudo 控制用户账号权限[/align]
|
[align=left]需求描述:[/align]
|
[align=left]1. 对用于远程登录的管理用户 radmin,允许其通过执行“su -”命令切换到 root 用户;其他所有[/align]
[align=left] 用户均禁止使用 su 切换身份;[/align]
[align=left]2. 系统组的用户 zhangsan 负责公司员工的账号管理,允许其通过 sudo 方式添加/删除用户及修改[/align]
[align=left] 用户相关信息(包括密码),但是不允许其修改 root 用户的密码等信息;[/align]
[align=left]3. 对系统管理员 lisi,允许其通过 sudo 方式执行/sbin、/usr/sbin 目录下的所有命令,并且不需要密[/align]
[align=left] 码验证;[/align]
[align=left]4. 所有用户通过 sudo 执行的每一条命令,均以日志记录的形式写入到文件/var/log/sudo 中。[/align]
|
[align=left]实验步骤:[/align]
|
[align=left]1. 修改 su 的 pam 文件[/align]
|
[align=left]# vi /etc/pam.d/su[/align]
[align=left] .auth required pam_wheel.so[/align]
|
[align=left]# usermod[/align]
|
[align=left]wheel[/align]
|
[align=left]radmin[/align]
|
[align=left]use_uid[/align]
|
[align=left]2. 修改 sudoers 文件[/align]
|
[align=left]# vi /etc/sudoers[/align]
[align=left]Cmnd_Alias ALLOW_CMD = /usr/sbin/useradd,/usr/sbin/userdel,[/align]
[align=left]/usr/sbin/usermod -*,/usr/bin/passwd [a-zA-Z]*[/align]
|
[align=left]Cmnd_Alias[/align]
|
[align=left]DENY_CMD =[/align]
|
[align=left]! /usr/bin/passwd[/align]
|
[align=left]root, /usr/sbin/usermod -*![/align]
|
[align=left]zhangsan ALL=ALLOW_CMD,DENY_CMD[/align]
|
[align=left]3. 修改 sudoers 文件[/align]
|
[align=left]# vi /etc/sudoers[/align]
[align=left] :lisi ALL=NOPASSWD:/usr/sbin/*,/sbin/*[/align]
|
[align=left]4. 添加日志功能[/align]
|
[align=left]# vi /etc/sudoers[/align]
[align=left]Defaults logfile = "/var/log/sudo"[/align]
|
[align=left]# vi /etc/syslog.conf[/align]
[align=left]local2.debug/var/log/sudo[/align]
|
[align=left]# service[/align]
|
[align=left]syslog[/align]
|
[align=left]restart[/align]
|
[align=left]实验二:为系统引导和登录提供安全加固[/align]
|
[align=left]需求描述:[/align]
|
[align=left] 禁止非授权用户使用系统启动盘从光盘引导系统;[/align]
[align=left] 禁止非授权用户在引导服务器时通过单用户模式进入系统;[/align]
[align=left] 防止普通用户获取 GRUB 密码,防止 grub.conf 文件被无意中修改或删除;[/align]
[align=left] 在服务器本地仅开放 tty1、tty2 控制台终端,限制 root 用户只能从 tty1 登陆,其他普通用户只能[/align]
[align=left] 从 tty2 登陆;[/align]
[align=left]5. 屏蔽掉 Ctrl + Alt + Del 热键重启功能;[/align]
[align=left]6. 所有用户登录到 shell 后,默认超过 5 分钟没有操作则自动注销。[/align]
|
[align=left]1.[/align]
[align=left]2.[/align]
[align=left]3.[/align]
[align=left]4.[/align]
|
[align=left]实验步骤:[/align]
|
[align=left]1. 调整 BIOS 的启动顺序,将光驱启动调整到下面,然后设置 BIOS 密码(略)。[/align]
|
[align=left]2. 设置 GRUB 修改密码[/align]
|
[align=left]添加这一行[/align]
|
[align=left]3. 锁定 GRUB 配置文件[/align]
|
[align=left]# chattr +i[/align]
|
[align=left]4. 限制终端登录[/align]
|
[align=left]/boot/grub/grub.conf[/align]
|
[align=left]# vi /etc/pam.d/login[/align]
[align=left]accountrequired[/align]
|
[align=left]pam_access.so[/align]
|
[align=left]# vi /etc/security/access.conf[/align]
[align=left]- :ALL EXCEPT root :tty1[/align]
|
[align=left]5. 设置 inittab 文件,禁用 Ctrl + Alt + Del 三热键[/align]
|
[align=left]6. 设置 profile 文件,调整 5 分钟自动注销[/align]
|
[align=left]# vi /etc/profile[/align]
[align=left]export TMOUT = 300[/align]
|
[align=left] [/align]本文出自 “奋斗的小蚂蚁” 博客,请务必保留此出处http://winbor.blog.51cto.com/4881801/945646
