Linux系统安全基础集锦

Linux系统安全基础集锦

Linux系统基本安全措施：

1）系统帐号清理：

常见的非登录用户包括bin、daemon、adm、lp、mail、nobody、apache、mysql、dbus、ftp、gdm等。

为了保证系统安全，这些用户的登录shell通常是/sbin/nologin，表示禁止终端登录：

还有一部分很少用到的用户，如news、uucp、games、gopher，这些用户可以视为冗余帐号，直接删除即可。

对于Linux服务器中长期不用的用户帐号，若无法确定是否应该删除，可以暂时将其锁定。

推荐阅读：

Linux系统安全Shell第二版

Linux系统安全性知识备忘 

六招防范漏洞 保证您Linux系统安全 

堵住系统漏洞 保证Linux系统安全应用 

eg：锁定、解锁zqq的用户帐号：

如果服务器中的用户帐号已经固定，不再进行修改，可以采用锁定帐号配置文件的方法。

使用chattr 命令，分别结合"+i" 、"-i"选项来锁定、解锁文件，使用lsattr命令查看文件锁定情况。

[root@ www.bkjia.com ~]# chattr +i /etc/passwd/etc/shadow

[root@ www.bkjia.com ~]# lsattr /etc/passwd/etc/shadow

帐号文件被锁定的情况下，其内容将不允许变更。

2）密码安全控制：

为了降低密码被猜出或被暴力破解的风险，用户应养成定期更改密码的习惯。

管理员可以在服务器端限制用户密码的最大有效天数，对于密码已过期的用户，登录时将被要求重新设置，否则将拒绝登录。

eg：将密码的有效期设为30天，chage用于设置密码时限：

3）命令历史、自动注销：

shell环境的命令机制为用户提供了极大的便利，但另一方面也给用户带来了极大的风险。

Bash终端环境中，历史命令的记录条数由变量HISTSIZE控制，默认为1000条。通过修改/etc/profile文件中的HISTSIZE变量值，可以影响系统中的所有用户。

eg：设置历史命令记录条数最多只记录150条：

[root@ www.bkjia.com ~]# vim /etc/profile——适用于新登录的用户

除此之外，还可以修改用户宿主目录中的~/.bash_logout文件，添加清空历史命令的操作语句。

eg：当用户退出已登录Bash环境以后，删除所记录的历史命令：

[root@ www.bkjia.com ~]# vim~/.bash_logout

Bash终端环境中，可以设置一个闲置超时时间，当超过指定的时间没有任何操作即自动注销终端。

闲置超时由变量TMOUT来控制，默认单位为秒。

当正在进行程序代码编译、修改系统配置等耗时较长的操作时，避免设置TMOUT变量，必要时使用“ unsetTMOUT”命令取消TMOUT变量。

1 2 3 下一页