系统加固配置文件相关

Root及普通用户登陆终端限制

1./etc/security/access.conf

2./etc/securetty

虚拟终端控制

vlock

锁定虚拟终端功能正常，伪终端部分功能可以使用

密码控制

cli ：chage

/etc/login.defs

sudo深入

/etc/sudoers

使用PAM限制用户登录时间

[root@localhost ~]# cat /etc/security/time.conf | grep -v '^#'
login;tty*;wiil;!Al0000-2400

限制wiil在所有时间登陆所有tty虚拟终端，同理可修改pts终端等。

time.conf是pam_time.so的配置文件。在/etc/security/limits.conf是pam_limits.so的配置文件，其他

文件同理。

[root@localhost ~]# cat /etc/pam.d/login
auth       required     pam_time.so   #添加这一行

需要PAM和conf文件结合，同理limits的限制。

pts终端限制：

[root@localhost ~]# grep -v '^#' /etc/security/time.conf
login;*;wiil;!Al0000-2400
sshd;*;wiil;!Al0000-2400

account    required     pam_time.so ##添加到/etc/pam.d/sshd

time.conf中指定的service做限制后需要在pam.d中也要添加进去

iptables相关

firewall logging：

kitten# iptables -A INPUT -p udp -s 192.168.0.111 --dport domain -j LOG --log-prefix "IPT_BAD_DNS"
kitten# iptables -A INPUT -p udp -s 192.168.0.111 --dport domain -j DROP

注意不能rules顺序，写反不会有记录。添加完规则后修改syslog配置文件 rsyslog.conf.重启rsyslog服务。

重启rsyslog遇到“Mar 1 21:33:39 localhost rsyslogd-2027: imjournal: fscanf on state file `/var/lib/rsyslog/imjournal.state’ failed

”，解决办法：删除该state文件

[root@cu04 ~]# grep kern.warn /etc/rsyslog.conf
kern.warn                       /var/log/iptables.log
[root@cu04 ~]# iptables -A INPUT -i eno1 -p tcp --dport ssh -m state --state NEW -j LOG --log-prefix "SSH_IPTABLES_NEW" --log-level warning
[root@cu04 ~]# iptables -A INPUT -p tcp --dport ssh -m state --state NEW -s 192.168.100.0/24 -j REJECT

记录ssh登录记录，也可以记录后reject掉。

文件权限及gpg加密

setuid、setgid、chattr (i,a)、gpg