Linux系統(tǒng)由于其出色的性能和穩(wěn)定性、開放源代碼的靈活性和可擴展性,以及較低廉的成本,而受到計算機工業(yè)界的廣泛關(guān)注和應用园担。其系統(tǒng)的安全性就必須要加強谤辜。
一. 賬戶安全
1.1 鎖定系統(tǒng)中多余的自建帳號
檢查方法:
執(zhí)行命令
#cat /etc/passwd
#cat /etc/shadow
查看賬戶岳掐、口令文件,與系統(tǒng)管理員確認不必要的賬號伪嫁。對于一些保留的系統(tǒng)偽帳戶如:bin, sys,adm,uucp,lp, nuucp,hpdb, www, daemon等可根據(jù)需要鎖定登陸漩氨。
備份方法:
#cp -p /etc/passwd /etc/passwd_bak
#cp -p /etc/shadow /etc/shadow_bak
加固方法:
使用命令passwd -l <用戶名>鎖定不必要的賬號西壮。
使用命令passwd -u <用戶名>解鎖需要恢復的賬號。
風險:
需要與管理員確認此項操作不會影響到業(yè)務系統(tǒng)的登錄
1.2設(shè)置系統(tǒng)口令策略
檢查方法:
使用命令
#cat /etc/login.defs|grep PASS查看密碼策略設(shè)置
備份方法:
cp -p /etc/login.defs /etc/login.defs_bak
加固方法:
#vi /etc/login.defs修改配置文件
PASS_MAX_DAYS 90 #新建用戶的密碼最長使用天數(shù)
PASS_MIN_DAYS 0 #新建用戶的密碼最短使用天數(shù)
PASS_WARN_AGE 7 #新建用戶的密碼到期提前提醒天數(shù)
PASS_MIN_LEN 9 #最小密碼長度9
風險:無可見風險
1.3禁用root之外的超級用戶
檢查方法:
#cat /etc/passwd 查看口令文件,口令文件格式如下:
login_name:password:user_ID:group_ID:comment:home_dir:command
login_name:用戶名
password:加密后的用戶密碼
user_ID:用戶ID,(1 ~ 6000) 若用戶ID=0,則該用戶擁有超級用戶的權(quán)限叫惊。查看此處是否有多個ID=0款青。
group_ID:用戶組ID
comment:用戶全名或其它注釋信息
home_dir:用戶根目錄
command:用戶登錄后的執(zhí)行命令
