- 论坛徽章:
- 1
|
LINUX安全讨论
三、口令和用户帐号管理
1、 密码
(1)修改密码长度:
[boot]#vi /etc/login.defs/--把 PASS_MIN_LEN 5 改为 PASS_MIN_LEN 8
(2)使用“/usr/sbin/authconfig”工具打开shadow功能,对password加密。如果你想把已有的密码和组转变为shadow格式,可以分别使用“pwcov,grpconv”命令。
(3)系统会自动注销root,#vi /etc/profile/--在"HISTFILESIZE="后面加入:
TMOUT=3600 3600,表示60*60=3600秒,也就是1小时。这样,如果系统中登陆的用户在一个小时内都没有动作,那么系统会自动注销这个账户。你可以在个别用户的“.bashrc”文件中添加该值,以便系统对该用户实行特殊的自动注销时间。 改变这项设置后,必须先注销用户,再用该用户登陆才能激活这个功能。
2、 关闭或删除所有不用的缺省用户和组账户
[root]# userdel username /--删除你系统上的用户
[root]# groupdel username /--删除你系统上的组用户帐号
[root]# useradd username /--增加用户帐号
[root]# passwd username/--改变用户口令
用户(adm,lp,sync,shutdown,halt,mail,news,uucp,operator,games,gopher,ftp等)
组(adm,lp,mail,news,uucp,games,slipusers,dip,ppusers,popusers等)
用chattr命令给下面的文件加上不可更改属性。
[root]# chattr +i /etc/passwd
[root]# chattr +i /etc/shadow
[root]# chattr +i /etc/group
[root]# chattr +i /etc/gshadow
3、 限制用户权限
(1)取消普通用户的控制台访问权限,比如shutdown、reboot、halt等命令。
[root]# rm -f /etc/security/console.apps/<servicename>; /--<servicename>;是你要注销的程序名。
(2)不允许从不同的控制台进行root登陆
编辑"/etc/securetty"文件,再不需要登陆的TTY设备前添加“#”标志,来禁止从该TTY设备进行root登陆。
(3)禁止任何人通过su命令改变为root用户
su(Substitute User替代用户)命令允许你成为系统中其他已存在的用户。
[boot]#vi /etc/pam.d/su
########在开头添加下面两行:
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/Pam_wheel.so group=wheel
这表明只有"wheel"组的成员可以使用su命令成为root用户。你可以把用户添加到“wheel”组,以使它可以使用su命令成为root用户
4、禁止不使用的SUID/SGID程序
如果一个程序被设置成了SUID root,那么普通用户就可以以root身份来运行这个程序。网管应尽可能的少使用SUID/SGID 程序,禁止所有不必要的SUID/SGID程序。
查找root-owned程序中使用's'位的程序:
[root]# find / -type f \( -perm -04000 -o -perm -02000 \) \-exec ls -lg {} \;
用下面命令禁止选中的带有's'位的程序:
[root]# chmod a-s [program] |
|