多方面来保证Linux服务器的基本系统安全

作为一种开放源代码的操作系统，Linux服务器以其安全，高效和稳定的显著优势而得以广泛应用，但是，若不加以控制，也不见得安全到哪里，这篇博文主要从账号安全控制价、系统引导和登录控制的角度，来进行Linux系统安全优化。并且使用辅助工具来查找安全隐患，以便我们运维人员及时采取相应的措施。

安全方面确实需要注意的比较多，这篇博文从各个方面写了下来，比较琐碎，还需要耐心些看，根据需要来配置服务器的安全性

一、基本安全措施：

1、 系统各种冗余账号，如“games”等，可直接删除，包括一些程序账号，若卸载程序后，账号没能被删除，则需要我们手动进行删除。

2、 当服务器中的用户账号已经固定，不再进行更改，可以直接锁定账号配置文件，锁定以后，便不可以添加用户及更改用户密码：

3、密码的有效期控制：为了降低密码被暴力破解或被猜出的风险，可以设置密码有效期来限制密码最大有效天数，对于密码已过期的用户，登录时则必须重置密码，否则将拒绝登录。

需要注意的是，当正在执行程序代码编译、修改系统配置等耗时较长的操作时，最好不要设置TMOUT变量。必要时可以执行“unset TMOUT”命令取消TMOUT变量设置。

二、用户切换与提权该怎么控制：

1、su命令——切换用户

默认情况下，任何用户都允许使用su命令，从而有机会反复尝试其他用户(如root)的登录密码，这样就有了安全隐患，为了避免这种情况，可以借助于pam_wheel认证模块，只允许极个别用户使用su命令进行切换。实现过程如下：将授权使用su命令的用户添加到wheel组，修改/etc/pam.d/su认证配置以启用pam_wheel认证：

至此，就只有wheel组中的用户可以使用su命令了，使用su命令切换用户的操作将会记录到安全日志/var/log/secure文件中，可以根据需要进行查看。

2、sudo命令——提升执行权限

使用su命令可以方便的切换为另一个用户，但前提条件是必须知道目标用户的登录密码。若想要切换到root用户，那么必须知道root用户的密码，对于生产环境中的Linux服务器来说，每多一个人知道root密码，其安全风险也就增加一分。所以sudo命令就由此而生了。

sudo命令的控制只需在/etc/sudoers配置文件中添加授权即可，需使用专门的visudo工具进行编辑，用vi也可以，但是保存时必须执行“ w!”命令来进行强制保存，否则系统将提示文件为只读文件而拒绝保存。

配置文件/etc/sudoers中，授权记录的基本配置格式如下所示：

user MACHINE=COMMANDS

三、终端及登录控制：

1、禁止root用户登录：

login程序是通过读取 /etc/securetty文件，以决定允许root用户从哪些终端登录的，若要禁止root用户从tty5、tty6登录，只需将文件中对应的行注释掉即可。

2、禁止普通用户登录：

当正在调试服务器，不希望再有新用户登录系统的话，可以建立/etc/nologin文件即可，login程序会检查/etc/nologin文件是否存在，如果存在，则拒绝普通用户登录系统(root用户不受限制)。这个方法只建议在服务器维护期间临时使用，当手动删除/etc/nologin文件或者重新启动主机后，即可恢复正常。
www.81rz.com/lnzt186/