Linux安全管理(2)
Linux安全管理(2)
早安_南京 发表于1年前
Linux安全管理(2)
  • 发表于 1年前
  • 阅读 11
  • 收藏 0
  • 点赞 0
  • 评论 0

腾讯云 新注册用户 域名抢购1元起>>>   

摘要: Linux 安全


root对/etc/shadow没有任何权限

检查是否对系统账号进行登录限制
auth required pam_tally.so deny=5 
account required pam_tally.so 

auth sufficient pam_rootok.so 和 
auth required pam_wheel.so group=wheel

编辑 /etc/pam.d/login文件,
配置auth required pam_securetty.so

echo "This is a private communication system. \
Unauthorized access or use may lead to prosecution.">/etc/motd
sed -i 's/umask 002/umask 077/g' /etc/csh.cshrc


echo "HISTFILESIZE=5" >>/etc/profile
echo "nospoof on" >>/etc/host.conf
chattr +i /etc/passwd 
chattr +i /etc/shadow 
chattr +i /etc/group 
chattr +i /etc/gshadow 

sed -i '2a\auth required pam_tally.so deny=5 unlock_time=600 no_lock_time' /etc/pam.d/sshd

cp -p /proc/sys/net/ipv4/conf/all/accept_redirects /proc/sys/net/ipv4/conf/all/accept_redirects.bak 
sysctl -w net.ipv4.conf.all.accept_redirects="0" 
cp -p /proc/sys/net/ipv4/conf/all/send_redirects /proc/sys/net/ipv4/conf/all/send_redirects.bak 
sysctl -w net.ipv4.conf.all.send_redirects="0" 


Redhat: 
编辑/etc/pam.d/system-auth文件 
配置: 
auth required pam_tally.so deny=5 
account required pam_tally.so 
不能改

Redhat 默认已经关闭了数据包转发功能。 
可通过以下命令来查看数据包转发功能是否关闭: 
# cat /proc/sys/net/ipv4/ip_forward 
如果返回值为0,说明数据包转发功能已经关闭,为1则开启。 
关闭数据包转发功能: 
命令: #sysctl -w net.ipv4.ip_forward=0 

1.编辑别名文件vi /etc/mail/aliases,删除或注释掉下面的行 
#games: root 
#ingres: root 
#system: root 
#toor: root 
#uucp: root 
#manager: root 
#dumper: root 
#operator: root 
#decode: root 
#root: marc 
2.修改后运行命令:/usr/bin/newaliases,使改变生效
这个文件没有

1.备份配置文件 
#cp -p /proc/sys/net/ipv4/conf/all/send_redirects /proc/sys/net/ipv4/conf/all/send_redirects.bak
 2.执行命令 
#sysctl -w net.ipv4.conf.all.send_redirects="0" 
并修改/proc/sys/net/ipv4/conf/all/send_redirects的值为0

1.备份配置文件 
#cp -p /proc/sys/net/ipv4/ip_forward /proc/sys/net/ipv4/ip_forward.bak 
2.执行命令 
#sysctl -w net.ipv4.ip_forward="0" 
并修改/proc/sys/net/ipv4/ip_forward的值为0
chkconfig --level 345 nfslock off

最后才设置禁止root登陆
1.确保/etc/ssh/sshd_config或/etc/ssh2/sshd2_config文件存在。如果不存在,则忽略下面配置步骤。 
2.在sshd_config或sshd2_config中配置:Protocol 2 
3.在sshd_config或sshd2_config中配置:PermitRootLogin no或PermitRootLogin NO
4.执行/etc/init.d/sshd restart


编辑su文件(),在开头添加下面两行: 
vi /etc/pam.d/su
auth sufficient pam_rootok.so 和 
echo  "auth sufficient pam_rootok.so" >>/etc/pam.d/su
echo  "auth required pam_wheel.so group=root" >>/etc/pam.d/su
echo  "auth required pam_wheel.so group=xwtech">>/etc/pam.d/su


 

共有 人打赏支持
粉丝 4
博文 62
码字总数 41711
×
早安_南京
如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!
* 金额(元)
¥1 ¥5 ¥10 ¥20 其他金额
打赏人
留言
* 支付类型
微信扫码支付
打赏金额:
已支付成功
打赏金额: