Linux系统安全常规配置全

Linux(RHEL5)系统安全常规优化

一、Linux系统安全优化之基本安全措施

1. 删除或禁用系统中不使用的用户和组

# passwd -l wang 确认程序或服务的登录shell不可用

# vi /etc/passwd 限制用户的密码有效期（最大天数）

# vi /etc/ 指定用户下次登录时必须更改密码

1.# chage -d 0 wang

2.

3.或

4.

5.# vi /etc/shadow

6.

限制用户密码的最小长度

1.# vi /etc/system-auth

2.

3.password requisite try_first_pass retry=3minlen=12

retry 重试时间

minlen 安全级别

6. 限制记录命令历史的条数

1.# vi /etc/profile

2.

3.HISTSIZE=50（默认为1000）

4.

# echo “history -c “》 ~/.bash_logout 设置闲置超时自动注销终端

1.# vi /etc /profile

2.

export TMOUT=600etc/sudoers配置文件---------visudo

sudo命令提供一种机制，只需要预先在/etc/sudoers配置文件中进行授权，即可以允许特定用户以超级用户（或其他普通用户）的身份执行命令，而该用户不需知道root用户的密码（或其他用户）的密码。常见语法格式如下：

user MACHINE=COMMANDS

user：授权指定用户

MACHINE主机：授权用户可以在哪些主机上使用

COMMANDS命令：授权用户通过sudo调用的命令，多个命令用，分隔

/etc/sudoers文件配置中的用户、主机、命令三个部分均为可以自定义别名进行代替，格式如下

er_Alias OPERATORS=jerry, tom, tsengyia

2.

3.Host_Alias MAILSERVERS=smtp , pop

4.

5.Cmnd_Alias SOFTWARE=/bin/rpm , /usr/bin/yum

2.使用sudo执行命令

sudo -l :查看当前用过被授权使用的sudo命令

sudo -k :清除timestamp时间戳标记，再次使用sudo命令时需要重新验证密码

sudo -v :重新更新时间戳（必要时系统会再次询问用户密码）

案例说明：因系统管理工作繁重，需要将用户账号管理工作交给专门管理组成员负责设立组账号 managers ，授权组内的各个成员用户可以添加、删除、更改用户账号

（1）建立管理组账户 managers

# groupadd managers

（2）将管理员账号，如wang加入managers组

# gpasswd -M managers

（3）配置sudo文件，针对managers组开放useradd 、 userdel 等用户管理命令的权限

1.# visudo

2.

3.Cmns_Alias USERADM = /usr/sbin/useradd , /usr/sbin/userdel , /u

sr/sbin/usermod

4.

5.%managers localhost = USERADM

（4）使用wang账号登录，验证是否可以删除他、添加用户

1.# su - wang

2.

3.# whoami

4.

5.# sudo -l

6.

7.# sudo /usr/sbin/useradd user1

8.

9.# sudo /usr/sbin/usermod -p ““ user1

10.

11.# sudo /usr/sbin/userdel -r user1

Linux系统安全优化中使用sudo提升执行权限的配置就向大家介绍完了，希望大家已经掌握。

四、Linux系统安全优化之文件

1. 合理规划系统分区

建议划分为独立分区的目录

/boot :大小建议在200M以上。

/home :该目录是用户默认宿主目录所在的上一级文件夹，若服务器用户数量较多，通常无法预知每个用户所使用的磁盘空间大小

/var : 该目录用于保存系统日志、运行状态、用户邮箱目录等，文件读写频繁。占用空间可能会较多

/opt : 用于安装服务器的附加应用程序及其他可选工具，方便扩展使用

2.通过挂载选项禁止执行set位程序、二进制程序使/var分区中程序文件的执行（x）权限失效，禁止直接执行该分区中二进制程序

1.# vi /etc/fstab

2.

3./dev/sdc1 /var ext3 defaults,noexec 1 2

4.

5.# mount -o remount /var

如果想要从文件系统层面禁止文件的suid 或 sgid位权限，将上边的noexec改为nosuid即可

3. 锁定不希望更改的系统文件

使用 +i 属性锁定service 、passwd、文件（将不能正常添加系统用户）

# chattr +i /etc/service /etc/passd /boot/

解除/etc/passwd文件的 +i 锁定属性

# lsattr /etc/passwd 关闭不必要的系统服务

2. 禁止普通用户执行目录中的脚本

1.# chmod -R o-rwx /etc/

2.

3.或

4.

5.# chmod -R 750 /etc/

3. 禁止普通用户执行控制台程序

/etc/security/目录下每一文件对应一个系统程序，如果不希望普通用户调用这些控制台程序，可以将对应的配置文件移除

1.# cd /etc/security/

2.

3.# tar jcpvf /etc/ poweroff halt reboot - - remove

4. 去除程序文件中非必需的set-uid 或 set-gid 附加权限