Linu系统安全常规配置全　.doc

Linux(RHEL5)系统安全常规优化 一、Linux系统安全优化之基本安全措施 删除或禁用系统中不使用的用户和组 1. # passwd -1 wang 2. 3. # passwd -u wang 4 . 5. 或 6. 7. # vi /etc/shadow  //禁用账户wang //解锁账户wang //保存时为:wq!因为文件为只读 住密码字符前加两个叹号! 确认程序或服务的登录shell不uj用 # vi /et c/passwd //将用户的登呆 shell 改为/sbin/nolo gin 2. 或 4. # usermod —s /sbin/no login wang 3. 限制用户的密码有效期(最人天数) # vi /et c/login.defs //只对新述立的用户有效 2. PASS _MAX_DAYS 30 4. 或 6. 7. # chage -M 30 wang //只对已经存在的wang用户有效 4.1 4. 1 2 3 4 5 chage -d 0 wa ng 或 vi /etc/sha dow 7 . //将shad ow文件中wang用户L AST DAY域（冒号：分割的第三列）的值设为0 限制用户密码的鉍小长度 # vi /etc/p am.d/system-auth 2. 3. password requisite pam_cr acklib.so try_f irst_pa ss retry=3 minlen=12 retry 重试时问 minlen 安全级别 限制记录命令历史的条数 # vi /etc /profile 2. H ISTSIZE=50 （默认为 1000） 4. # echo 、、h istory -c 、》 ~/ .bas h_logout //注销时淸除命令历史记呆 设置闲置超吋自动注销终端 # vi /etc /profile 2. exp ort TMOUT=600 //添加此行使用SU切换用户身份 4. su [-]用户名 [_]区别： 使用：相当于--log in,农示使用目秘用户的登录shell环境，工作M录，PATH变量等 不使川：保持原有的用过环境不便 二、Linux系统安全优化之案例说明su的使用方法 允许wang用户可以通过su命令切换为root身份，以便执行管理任务 禁止其他用户使川su命令切换用过身份 (1)将允许川户加入 (1) 将允许川户加入wheel组 1 ? # gpa sswd -a wa ng wheel 2. 3. # id wang //资看wang用P的附加组 2.3.修改PAM设:??.，添加pam_wheel认证 2. 3. # vi /etc/p am.d/su au th require d pam_wheel .so use一uid //去掉该行的#号 （3） 验证su权限 Linux系统安全优化屮基本安全措施的配置就向大家介绍完了，希柒大家LA经掌握。 三、Linux系统安全优化之使用sudo提升执行权限 /etc/sudoers 配置文件 visudo sudo命令提供-种机制，只需要预先在/etc/sudoe rs配置文件中进行授权，即可以允许特定用户以超级用 户（或其他齊通用户）的身份执行命令，而该用户不需知道root用户的密码（或其他用户）的密码。常 见语法格式如下： user MACHINES OMMANDS user：授权指定用户 MACH INE主机：授权用户可以在哪些主机上使用 COMMANDS命令：授权用户通过sudo调用的命令，多个命令用，分隔 /etc/sudoers文件配置中的用户、主机、命令三个部分均为可以自定义别名进行代替，格式如下 1. U ser^Alias OPERATORS=jerry, tom, tsengyia 2345H ost Alias 2 3 4 5 H ost Alias Cmnd Alia s MAILSERVER S=smtp, pop SOFTWARE =/bin/rpm , /usr/bin/yum 使用sudo执行命令 sudo -I :奔看当的用过被授权使用的sudo命令 sudo -k :清除times tamp时间戳标记，再次使用sudo命令时需要新验证密奶 sudo -v :新更新时间戳（必要时系统会再次询问用户密码） 案例说明：因系统管理工作繁邀，需要将用户账号管理工作交给专门管理组成员负责设立组账号ma nagers ,授权组内的各个成员用户可以添加、删除、更改用户账号 （1） 述立管理组账户managers # groupadd managers 将管理员账号，如wang加入man agers组 ft gpa sswd -M w