系统安全的加固

系统账号清理

将用户设置为无法登录

chsh? -s? /sbin/nologin? 用户名

锁定账户

passwd? -l? 用户名 ????锁定用户密码

passwd? -u? 用户名 ????解锁用户密码

删除账户

userdel? -r? 用户名

锁定配置文件

chattr

-a???? 只能追加

-i????? 不能更动文件或目录

密码安全控制

新建用户

修改/etc/login.defs文件内容

已有用户 ????chage

chage? 用户名

要求用户下次登录时修改密码 ????chage? -d? 0? 用户名

命令历史

history? -c???? 临时清除历史命令

vim.bash_logout

退出后清除

~/.bash_logout

echo “ “ >~/.bash_history

开机后清除

vim.bashrc

echo “ “ >/.bahs_history

切换用户

su 不加-???? 不完全的切换

su 加-???? 完全的切换

root su到其他用户无需密码，非root用户切换需要密码

注意：su切换新用户后，使用exit退回旧用户

限制使用su命令的用户

vim /etc/pam.d/su

# auth sufficient pam_ rootok.so

#auth required pam_ wheel.so use_ _uid

以上两行是默认状态(即开启第一行，注释第二行)，这种状态下是允许所有用户间使用su命令进行切换的；

两行都注释也是允许所有用户都能使用su命令，但root'下使用su切换到其他普通用户需要输入密码;如果第一行不注释，则root使用su切换普通用户就不需要输入密码；

如果开启第二行，表示只有root用户和wheel组内的用户才可以使用su命令

如果注释第一行，开启第二行，表示只有whee1组内的用户才能使用su命令，root用户也被禁用su命令

pam安全认证

pam专用配置文件/etc/pam.d/格式

type?????? control?? module-path????? arguments

模块类型 ??控制位 ??程序文件路径名 ???参数

control（控制位）

required???? 一票否决 如果失败，最后一定失败，但是会继续进行验证

requisite???? 一票否决 如果失败，会立即结束验证，反馈失败

sufficient???? 验证成功立即返回，不再继续，否则忽略结果并继续

shell模块

检查有效shell

pam_shell.so只允许规定的shell类型通过，是在/etc/shells文件中存在的类型通过

securetty模块

只允许root用户在/etc/securetty列出的安全终端上登录

pam_nologin.so模块

如果/etc/nologin文件粗在，非root用户不能登录。但不影响su登录

limit

控制用户可使用的资源限制

sudo???? 提权操作

root ALL=（ALL） ALL????

root??????? 哪个用户要使用命令

ALL???????? 哪台主机

(ALL) ???????以谁的身份运行

ALL???????? 哪个命令

grub加密

grun2-setpassword