基本系统安全
保护引导过程(Grub引导为例)
在 `/etc/inittab` 中添加 `sp:S:respawn:/sbin/sulogin`,以确保当切换单用户模式时,运行级的配置要求输入root密码
cp /etc/inittab /etc/inittab.bak
vim /etc/inittab
id:3:initdefault
sp:S:respawn:/sbin/sulogin
防止用户使用`Ctrl+Alt+Del`进行重新引导:
在RHEL6.X和Centos 6.x下,该热键行为由`/etc/init/control-alt-delete.conf`控制。
注释到原来的改成:`exec /usr/bin/logger -p authpriv.notice -t init "Ctrl-Alt-Del was pressed and ignored" `
关闭不使用的服务
查看开启的服务
chkconfig --list | grep '3:on'
关闭邮件服务,使用公司邮件服务器:
service postfix stop
chkconfig postfix --level 2345 off
根据实际情况关闭服务
增强特殊文件的权限
chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow
chattr +i /etc/services # 给系统服务端口列表文件加锁,防止未经许可的删除或者添加服务
chattr +i /etc/pam.d/su
chattr +i /etc/ssh/sshd_config
给以上文件添加不可更改属性,防止未授权用户获得权限
执行以上chattr后,就无法添加或者删除用户。使用 chattr -i 取消只读权限
强制实行配额和限制
`Linux PAM(插入式认证模块,Pluggable Authentication Modules)`,可以强制实行限制,在`/etc/security/limits.conf`文件中进行配置。
这些限制使用于单个对话。可以使用maxlogins控制总额限制。limits.conf中的结构
username|@groupname type resource limit
@groupname的@必须添加。类型必须是soft或者hard。软限制(soft-limit)可以被超出,通常只是警戒线,硬限制(hard-limit)则是不能超出
