Linux系統安全常規優化

基本安全措施

1. 禁用系統中不適用的賬戶

2. 確認程式或服務使用者的登入shell不可用

3. 限制使用者的密碼有效（最大天數）

（針對以後新建使用者）

（針對現有個體使用者）

4. 指定使用者在下次登入時必須修改密碼

5. 限制使用者密碼最小長度

 

6. 限制記錄命令歷史的條數

並設定當前使用者在登出後自動清空歷史命令記錄

7. 設定閒置超時自動登出終端

使用su切換使用者身份

1. 切換普通使用者

（當使用root使用者切換其他使用者的時候不需要輸入密碼）

2. 限制使用su使用者

使用sudo提升許可權

1. 授權使用者zhangsan可以以root許可權執行ifconfig命令

2. 使用別名提升許可權

3. 授權wheel組的使用者不需驗證密碼即可執行所有命令

4. 為sudo啟用日誌功能，將記錄寫入/var/log/sudo檔案中

（同樣在visudo中寫入）

5. 檢視被授權的命令

檔案系統層的安全優化

1. 合理規劃系統分割槽

/boot   該目錄中包含系統核心，grub程式等關鍵性的引導檔案。如需適應以後對核心的升級或相關擴充套件性需求，分割槽大小建議在200MB以上。

/home  該目錄是使用者預設宿主目錄所在的上一級資料夾，若伺服器使用者數量較多，通常無法預知每個使用者所使用的空間大小

/var     儲存日誌檔案，執行狀態檔案，使用者郵箱目錄等

/opt     用於安裝伺服器的附加應用程式及其他可選空間，方便擴充套件使用

2. 通過掛載選項禁止執行set位許可權，二進位制程式

3. 鎖定不希望更改的系統檔案

（i 完全鎖定  a 可以追加  接觸使用 – ）

應用程式和服務

1. 關閉不必要的應用程式

2. 禁止普通使用者執行init.d目錄中的指令碼

3. 禁止普通使用者執行控制檯程式

使用consolehel[er輔助工具執行

4. 取出程式檔案中非必須的set-udi或者set-gid

系統引導和登入安全優化

（進入修復模式的時候需要輸入）

（使用加密字串）

終端及登入控制

1. 禁止普通使用者登入

2.控制檯開放

（禁用tty4）

（快速生效）

3. 控制root 使用者登入的tty終端

4. 更改系統登入提示

5. 使用pam_access認證控制使用者登入地點

– : ALL EXCEPT root : tty1                   禁止除root以外使用者登入tty1

格式：

拒絕/允許（- + ） ： 使用者 ： 來源

本文轉自 鄭偉  51CTO部落格，原文連結:http://blog.51cto.com/zhengweiit/376424