一.基本安全步伐
1.系统账号清理
常见的非登录用户账号包罗bin,daemon, adm, lp, mail等。 为了确保系统安全,这些用户账号的登录Shell 通常是/sbin/nologin,表现禁止终端登录,应确保不被人为改动,如下所示。
对于长期不消的用户账号,可以暂时锁定。
用户无法更改,用锁定账号来设置文件。
“chattr”命令,联合"+i","-i"选项来锁定,解锁文件。
“lsattr”可以查看文件的锁定环境。
账号文件锁定下,内容无法更改,账号无法添加与删除,无法更改用户密码,宿主目次,登录Shell等属性信息。
2.密码安全控制
为了提高安全,密码应该定期更改。管理员可以限制用户密码的最大有效天数。密码逾期用户,再次登录时要重新设置密码,否则无法登录。
管理员可以逼迫执行大部分用户下次登录时更改密码。
3.主动清空历史命令及主动注销
在Bash终端环境中,历史命令的记录条数由变量HISTSIZE控制,默以为1000条。修改etc/profle文件中的HISTSIZE变量值,可以影响系统中的所有用户。
别的,还可以修改用户宿主目次中的~/.bash_logout文件,添加清空历史命令的操作语句。这样当用户退出已登录Bash环境以后,所记录的历史命令就被主动清空。
设定闲置超时时间,当指定的时间无输入时,将主动注销终端。有效制止其他人员对服务器的误操作风险。闲置超时由变量TMOUT控制,默认单位为秒。
二.用户切换与提权
1.“su”——切换用户
“su”命令切换指定用户拥有该此用户权限(密码验证)。
使用pam_wheel认证模块,只允许个别用户使用"su"进行切换。
2.sudo——提拔执行权限
1)在/etc/sudoers设置文件中添加授权
sudo机制的设置文件为/etc/sudoers,文件的默认权服为440,需使用专门的visudo工具进行编辑
更改格式:[%组名] ALL=ALL: ALL
第一个 ALL 表现允许该组的用户从任何主机登录
第二个 ALL 表现该组用户可以以任何用户身份执行命令,括号内的 ALL 进一步明白了可以切换到所有用户
第三个 ALL 表现该组用户可以执行系统中的任何命令
在/etc/sudoers设置文件中,授权记录的基本设置格式如下:
user (用户) MACHINE (主机) = COMMANDS( 命令)
2)通过sudo执行特权命令
以授权用户,执行特权命令时,只需将“sudo”命令作为参数。
查看用户sudo授权命令——sudo-l。
查看用户sudo日志操作记录。
三.开关机安全控制
1.调解BIOS引导设置
(1)将第一优先引导装备(FirstBootDevice)设为当前操作系统地点磁盘。
(2)禁止从其他装备(如光盘、U盘、网络等)引导操作系统,对应的项设为“Disabled”
(3)将 BIOS的安全级别改为“setup”,并设置好管理密码,以防范未授权的修改。
2.禁止Ctrl+Alt+Del组合键重启
组合键重启功能为服务器的本地维护提供了便利,但对于多终端登录的 Linux 服务器而言,禁用此功能是比力安全的选择。
3.限制更改GRUB引导参数
在 Linux 操作系统中,通过修改 GRUB引导参数可以对一些系统问题进行修复。从系统安全的角度来看,如果任何人都能够修改 GRUB引导参数,那么对服务器本身显然是一个极大的威胁。为了加强对引导过程的安全控制,可以为 GRUB 菜单设置一个密码,只有提供正确的密码才被允许修改引导参数。
四、终端及登录控制
1、禁止root用户登录
2、禁止平凡用户登录
当服务器正在进行备份或调试等维护工作时,可能不盼望再有新用户登录系统。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
