linux安全设置

 

本文主要介绍了如何在linux中进行设置，使你的linux系统更加安全。

1.BIOS密码

一定要设置BIOS密码，以防止其他人通过修改first boot device，通过其他方式（如启动盘）进入你的系统。

 

2.设置系统引导程序的密码

通过设置系统引导程序的密码，防止其他人进入系统单用户模式，强制修改root的密码，关于grub2的密码设置

 

3.开启密码的shadow功能

Linux系统里的用户和群组密码，分别存放在名称为passwd和group的文件中，　这两个文件位于/etc目录下。因系统运作所需，任何人都得以读取它们，造成安全上的破绽。投影密码将文件内的密码改存在/etc目录下的shadow和gshadow文件内，只允许系统管理者读取，同时把原密码置换为"x"字符，有效的强化了系统的安全性。

pwconv命令用于开启用户的shadow口令.

一般来用pwconv来同步口令，下面来说一下，它的工作流程：

pwconv依赖于passwd中的密码区'x'来同步/etc/passwd与/etc/shadow这两个文件；以/etc/passwd为主来控制/etc/shadow中的各项：

A：若/etc/shadow不存在，则pwconv将用/etc/passwd来建立

B：若/etc/shadow已存在，则：

1.若条目在passwd中已存在，而不在shadow中，则在shadow中添加相关条目

2.若条目在shadow中已存在，而不在passwd中，则从shadow中删除相关条目

 

4.自动注销

当用户在一段时间内没有操作时，自动注销用户，防止其他人趁机使用。

可以在/etc/profile文件末尾添加：

TMOUT=xx （xx的单位是秒）

 

5.关闭不需要的服务

通过netstat命令目前系统监听的端口，如果有不必要的服务应该立刻关闭。

 

6.TCP_WRAPPERS

TCP Wrappers 使用访问控制列表 (ACL) 来防止欺骗。ACL 是 /etc/hosts.allow 和 /etc/hosts.deny 文件中的系统列表。

/etc/hosts.allow和/etc/hosts.deny两个文件是控制远程访问设置的，通过他可以允许或者拒绝某个ip或者ip段的客户访问linux的某项服务。

 

7.限制sudo的权限

编辑/etc/sudoers文件，将用户的sudo权限限制在最小的范围内。