1、1)修改/etc/shadow文件,用户名后加*LK*2)将/etc/passwd文件中的shell域设置成/bin/false3)#passwd -l username只有具备超级用户权限的使用者方可使用,#passwd -l username锁定用户,用#passwd d username解锁后原有密码失效,登录需输入新密码,修改/etc/shadow能保留原有密码。需要锁定的用户:listen,gdm,webservd,nobody,nobody4、noaccess。注:无关的账号主要指测试帐户、共享帐号、长期不用账号(半年以上未用)等被删除或锁定的账号无法登录成功;使用删除或锁定的与工
2、作无关的账号登录系统; 3 根据系统要求及用户的业务需求,建立多帐户组,将用户账号分配到相应的帐户组。Cat /etc/passwdCat /etc/group人工分析判断4使用PAM禁止任何人su为root参考操作:编辑su文件(vi /etc/pam.d/su),在开头添加下面两行: auth sufficient /lib/security/pam_rootok.so auth required /lib/security/pam_wheel.so group=wheel 这表明只有wheel组的成员可以使用su命令成为root用户。你可以把用户添加到wheel组,以使它可以使用su命令
3、成为root用户。添加方法为:# chmod G10 usernameCat /etc/pam.d/su 2.2口令1对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少3类。vi /etc/login.defs ,修改设置如下PASS_MIN_LEN=8 #设定最小用户密码长度为8位Linux用户密码的复杂度可以通过pam_cracklib module或pam_passwdqc module进行设置不符合密码强度的时候,系统对口令强度要求进行提示;符合密码强度的时候,可以成功设置;1、检查口令强度配置选项是否可以进行如下配置:i. 配置口令的
4、最小长度;ii. 将口令配置为强口令。2、创建一个普通账号,为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于8的口令,查看系统是否对口令强度要求进行提示;输入带有特殊符号的复杂口令、普通复杂口令,查看系统是否可以成功设置。pam_cracklib主要参数说明: tretry=N:重试多少次后返回密码修改错误 difok=N:新密码必需与旧密码不同的位数 dcredit=N: N = 0:密码中最多有多少个数字;N /etc/issue $RKernel $(uname -r) on $a $(uname -m)/etc/issue #cp -f /etc/issue /et
5、c/ #echo 其次删除/etc目录下的和issue文件:# mv /etc/issue /etc/issue.bak # mv /etc/ /etc/.bak 查看Cat /etc/rc.d/rc.local 注释住处信息2.9登录超时时间设置对于具备字符交互界面的设备,配置定时帐户自动登出通过修改账户中“TMOUT”参数,可以实现此功能。TMOUT按秒计算。编辑profile文件(vi /etc/profile),在“HISTFILESIZE=”后面加入下面这行:建议TMOUT=300(可根据情况设定)改变这项设置后,必须先注销用户,再用该用户登录才能激活这个功能查看TMOUT=3002
6、.10删除潜在危险文件.rhosts,.netrc,hosts.equiv等文件都具有潜在的危险,如果没有应用,应该删除执行:find / -name .netrc,检查系统中是否有.netrc 文件,find / -name .rhosts ,检查系统中是否有.rhosts 文件如无应用,删除以上文件:Mv .rhost .rhost.bak Mv .netr .netr.bak 注意系统版本,用相应的方法执行2.11 FTP设置编号1:禁止root登陆FTP在ftpaccess文件中加入下列行root使用root帐号登录ftp会被拒绝编号2:禁止匿名ftp以vsftpd为例:打开vsftd
7、.conf文件,修改下列行为:anonymous_enable=NO匿名账户不能登录编号3:修改FTP banner 信息使用vsftpd,则修改下列文件的内容:/etc/vsftpd.d/vsftpd.conf使用wu-ftpd,则需要修改文件/etc/ftpaccess,在其中添加:banner /path/to/ftpbanner在指定目录下创建包含ftp的banner信息的文件1、 判断依据通过外部ftp客户端登录,banner按照预先设定的显示2、 检查操作附表:端口及服务服务名称端口应用说明关闭方法处置建议daytime13/tcpRFC867 白天协议chkconfig dayt
8、ime off 建议关闭13/udptime37/tcp时间协议chkconfig time off 37/udpchkconfig time-udp off echo7/tcpRFC862_回声协议chkconfig echo off 7/udpchkconfig echo-udp off discard9/tcpRFC863 废除协议chkconfig discard off 9/udpchkconfig discard-udp offchargen19/tcpRFC864 字符产生协议chkconfig chargen off 19/udpchkconfig chargen-udp off ftp21/tcp文件传输协议(控制)chkconfig gssftp off 根据情况选择开放telnet23/tcp虚拟终端协议chkconfig krb5-telnet off sendmail25/tcp简单邮件发送协议chkconfig sendmail offnameserver53/udp域名服务chkconfig named off 53/tcpapache80/tcp
copyright@ 2008-2023 冰点文库 网站版权所有
经营许可证编号:鄂ICP备19020893号-2