Linux系統賬號安全控制
阿新 • • 發佈:2018-02-24
linux 安全 賬號控制 grub 一、基本安全
1.系統賬號清理
Linux中賬號有root,手工創建的,維護系統運作的,和非登錄用戶,常見的非登錄用戶有bin.daemon.adm.mail.nobody.apache.mysql.ftp等,其中一部分很少用到,可以刪除,如news.uucp.games.gopher。還有就是應用卸載後殘留用戶,需管理員手工刪除,可以在/etc/passwd中查詢
grep "/sbin/nologin$" /etc/passwd
有長期不使用賬號的,不確定是否刪除的,可以將用戶鎖定
usermod -L 用戶名 鎖定
usermod -U 用戶名 解鎖
如果服務器中的賬號以固定,不在進行修改,可以采取鎖定賬號配置文件的方法
chattr -i 文件 解鎖文件
lsattr 文件 查看鎖定狀態
vim ~/.bash_logout
添加 history -c clear 兩條命令
設置終端閑置超時時間,當一段時間沒有輸入命令時自動註銷終端
vim /etc/profile #適用於新登錄用戶
export TMOUT=600 #超過600秒關閉
export TMOUT=600 #適用於當前用戶
必要時可以用unset TMOUT 取消TMOUT變量
二、給用戶權限設置
1.su命令
切換用戶
限制用戶使用su命令,可提高root用戶密碼安全性
添加用戶至wheel組
gpasswd -a tom wheel
grep wheel /etc/group 確認wheel組成員
啟用pam_wheel認證,未加入wheel組的,無法使用su命令
使用su命令切換的操作會記錄到安全日誌/var/log/secure文件中
2.sudo命令
提升執行權限,使普通用戶也能執行特定命令
在配置文件/etc/sudoers中添加授權
用專門的命令工具visudo編輯
基本格式為:user MACHINE=COMMANDS
user:用戶名,或采取%組名
MACHINE:使用此配置文件的主機名稱,方便多臺主機之間共用一臺sudoers文件
COMMANDS:命令,填寫命令的完整路徑,多條命令以“,”分割,‘!‘表示取反,例:在/usr/bin/下,除了userdel都可以執行
defaults logfile... 開啟sudo日誌記錄
sudo -l 查看sudo配置
在/var/log/sudo中看到用戶sudo操作記錄
三、開關機安全
1.調整BIOS引導設置
將第一優先引導設備(first boot device)設為當前系統所在磁盤
禁止從其他設備(光盤,U盤,網絡)引導系統,設為disabled
將BIOS安全級別設為setup,設置好管理密碼
2.對於多終端的服務器禁止ctrl+alt+del重啟,
註釋掉最後一行
3.設置grub引導菜單密碼
加密密碼
復制加密後的密碼
重新進入grub菜單式,按E鍵不能直接進入,需P鍵,輸入密碼
四、終端及登錄
1.減少開放的tty終端個數
/etc/init/tty.conf 控制tty終端的開啟
/etc/init/start-ttys.conf 控制tty終端的開啟數量、設備文件
/etc/sysconfig/init 控制tty終端的開啟數量、終端顏色
通過修改start-ttys.conf、sysconfig/init 文件限制個數
1.系統賬號清理
Linux中賬號有root,手工創建的,維護系統運作的,和非登錄用戶,常見的非登錄用戶有bin.daemon.adm.mail.nobody.apache.mysql.ftp等,其中一部分很少用到,可以刪除,如news.uucp.games.gopher。還有就是應用卸載後殘留用戶,需管理員手工刪除,可以在/etc/passwd中查詢
grep "/sbin/nologin$" /etc/passwd
有長期不使用賬號的,不確定是否刪除的,可以將用戶鎖定
usermod -L 用戶名 鎖定
usermod -U 用戶名 解鎖
如果服務器中的賬號以固定,不在進行修改,可以采取鎖定賬號配置文件的方法
chattr -i 文件 解鎖文件
lsattr 文件 查看鎖定狀態
鎖定/etc/passwd /etc/shadow就不能再添加用戶了
2.密碼安全控制
限制用戶密碼的最大有效天數
vim /etc/login.defs #適用於新建用戶
修改為30天
chage -M 30 tom #適用於已有用戶
批量創建用戶時,指定用戶下一次登錄時修改密碼
chage -d 0 tom
3.清除命令歷史
修改變量HISTSIZE,默認為1000條
vim /etc/profile #適用於新登錄用戶
HISTSIZE=200 #修改為200條
export HISTSIZE=200 #適用於當前用戶
vim ~/.bash_logout
添加 history -c clear 兩條命令
設置終端閑置超時時間,當一段時間沒有輸入命令時自動註銷終端
vim /etc/profile #適用於新登錄用戶
export TMOUT=600 #超過600秒關閉
export TMOUT=600 #適用於當前用戶
必要時可以用unset TMOUT 取消TMOUT變量
二、給用戶權限設置
1.su命令
切換用戶
限制用戶使用su命令,可提高root用戶密碼安全性
添加用戶至wheel組
gpasswd -a tom wheel
grep wheel /etc/group 確認wheel組成員
啟用pam_wheel認證,未加入wheel組的,無法使用su命令
使用su命令切換的操作會記錄到安全日誌/var/log/secure文件中
2.sudo命令
提升執行權限,使普通用戶也能執行特定命令
在配置文件/etc/sudoers中添加授權
用專門的命令工具visudo編輯
基本格式為:user MACHINE=COMMANDS
user:用戶名,或采取%組名
MACHINE:使用此配置文件的主機名稱,方便多臺主機之間共用一臺sudoers文件
COMMANDS:命令,填寫命令的完整路徑,多條命令以“,”分割,‘!‘表示取反,例:在/usr/bin/下,除了userdel都可以執行
defaults logfile... 開啟sudo日誌記錄
sudo -l 查看sudo配置
在/var/log/sudo中看到用戶sudo操作記錄
三、開關機安全
1.調整BIOS引導設置
將第一優先引導設備(first boot device)設為當前系統所在磁盤
禁止從其他設備(光盤,U盤,網絡)引導系統,設為disabled
將BIOS安全級別設為setup,設置好管理密碼
2.對於多終端的服務器禁止ctrl+alt+del重啟,
註釋掉最後一行
3.設置grub引導菜單密碼
加密密碼
復制加密後的密碼
重新進入grub菜單式,按E鍵不能直接進入,需P鍵,輸入密碼
四、終端及登錄
1.減少開放的tty終端個數
/etc/init/tty.conf 控制tty終端的開啟
/etc/init/start-ttys.conf 控制tty終端的開啟數量、設備文件
/etc/sysconfig/init 控制tty終端的開啟數量、終端顏色
通過修改start-ttys.conf、sysconfig/init 文件限制個數
2.限制root用戶登錄的終端
修改/etc/securetty文件,可以註釋掉禁止登錄的終端
3.禁止普通用戶登錄‘’
當服務器進行備份或調試等工作時,不希望用戶登錄可以簡單的建立/etc/nologin文件即可,刪除文件則可以登錄
.Linux系統賬號安全控制