网络工程师必会的Linux系统安全常规优化
网络存在的这危险,就是因为一些人对我们系统的破坏,所以做好Linux系统的安全优化是十分重要的一项工作。所以我们网络工程师就要会基本的优化工作了。
一、
一、 一、用户账号安全优化
1、 1.基本安全措施
确认程序或服务用户的登录shell不可用
vi
/etc/passwd
usermod
–s
/sbin/nologin
rpm
删除系统中不使用的用户和组
passwd
-l
zhangsan或
vi
/etc/shadow(用户名前加!)
userdel
lp
限制用户密码的最小长度
vi
/etc/pam.d/system-auth
password
requisite
pam_cracklib.so
try_first_pass
retry=3
minlen=12
限制记录命令历史的条数
HISTSIZE=100
设置闲置超时自动注销终端
vi
/etc/profile
export
TMOUT=600
2.
1、
使用su切换切换用户身份
gpasswd
-a
zhangsan
wheel
vi
/etc/pam.d/su
auth
required
pam_wheel.so
use_uid
1、
使用sudo提升执行权限
vi
/etc/sudoers
或 visudo
用户
主机名=(权限用户)
NOPASSWD:命令列表
lisi
localhost=/sbin/ifconfig
jerry
localhost= NOPASSWD:/sbin/ifconfig
%wheel
ALL=(ALL)
NOPASSWD:ALL
wanglu
localhost=(lisi)
NOPASSWD:ALL
一、 二、文件和文件系统安全优化
关闭不需要的系统服务,如cupsd、bluetooth等
禁止普通用户执行init.d目录中的脚本
chmod
-R o-rwx
/etc/init.d
或
chmod
-R 750
/etc/init.d/
禁止普通用户执行控制台程序
cd
/etc/security/console.apps/
tar
jcpvf
/etc/conheplpw.tar.bz2
poweroff
halt
reboot
--remove
去除程序文件中非必需的set-uid或set-gid附加权限
find
/
-type
f
-perm
+6000
>
/etc/sfilelist
vi
/usr/sbin/chksfile
#!/bin/bash
OLD_LIST=/etc/sfilelist
for
i
in
`find
/
-type
f
-perm
+6000`
do
grep
-F
“$i”
$OLD_LIST
>
/dev/null
[
$?
-ne
0
]
&&
ls
-lh
$i
done
chmod
700
/usr/bin/chksfile
除了除了这些,还有许多别的方法,这都是我日常整理和我在http://www.beidaqingniao.org/question/0722215.html搜集到的内容,只要我们平时多去积累,就一定能将我们的系统维护的好,这样就可以避免不必要的麻烦了。希望这些办法对与大家维护系统有所帮助吧!
一、
一、 一、用户账号安全优化
1、 1.基本安全措施
确认程序或服务用户的登录shell不可用
vi
/etc/passwd
usermod
–s
/sbin/nologin
rpm
删除系统中不使用的用户和组
passwd
-l
zhangsan或
vi
/etc/shadow(用户名前加!)
userdel
lp
限制用户密码的最小长度
vi
/etc/pam.d/system-auth
password
requisite
pam_cracklib.so
try_first_pass
retry=3
minlen=12
限制记录命令历史的条数
HISTSIZE=100
设置闲置超时自动注销终端
vi
/etc/profile
export
TMOUT=600
2.
1、
使用su切换切换用户身份
gpasswd
-a
zhangsan
wheel
vi
/etc/pam.d/su
auth
required
pam_wheel.so
use_uid
1、
使用sudo提升执行权限
vi
/etc/sudoers
或 visudo
用户
主机名=(权限用户)
NOPASSWD:命令列表
lisi
localhost=/sbin/ifconfig
jerry
localhost= NOPASSWD:/sbin/ifconfig
%wheel
ALL=(ALL)
NOPASSWD:ALL
wanglu
localhost=(lisi)
NOPASSWD:ALL
一、 二、文件和文件系统安全优化
关闭不需要的系统服务,如cupsd、bluetooth等
禁止普通用户执行init.d目录中的脚本
chmod
-R o-rwx
/etc/init.d
或
chmod
-R 750
/etc/init.d/
禁止普通用户执行控制台程序
cd
/etc/security/console.apps/
tar
jcpvf
/etc/conheplpw.tar.bz2
poweroff
halt
reboot
--remove
去除程序文件中非必需的set-uid或set-gid附加权限
find
/
-type
f
-perm
+6000
>
/etc/sfilelist
vi
/usr/sbin/chksfile
#!/bin/bash
OLD_LIST=/etc/sfilelist
for
i
in
`find
/
-type
f
-perm
+6000`
do
grep
-F
“$i”
$OLD_LIST
>
/dev/null
[
$?
-ne
0
]
&&
ls
-lh
$i
done
chmod
700
/usr/bin/chksfile
除了除了这些,还有许多别的方法,这都是我日常整理和我在http://www.beidaqingniao.org/question/0722215.html搜集到的内容,只要我们平时多去积累,就一定能将我们的系统维护的好,这样就可以避免不必要的麻烦了。希望这些办法对与大家维护系统有所帮助吧!
作者: 加油2011 发布时间: 2011-08-02
顶一个
作者: zhang5169 发布时间: 2011-08-03