FROM:
http://blog.chinaunix.net/u/13902/showart.php?id=345252
Linux安全設(shè)定:
1.禁止Ctrl+Alt+Delete重新啟動(dòng)機(jī)器命令
修改/etc/inittab文件,將"ca::ctrlaltdel:/sbin/shutdown -t3 -r now"一行注釋掉。
2.禁止在ssh下直接用root登錄
編輯/etc/ssh/sshd_config文件
把PermitRootLogin yes前面的“#”去掉,把“yes”改為“no”
有關(guān)ssh登錄的安全設(shè)定還有很多,更詳細(xì)的ssh安全配配置請(qǐng)參考我的《SSH服務(wù)簡(jiǎn)介》。
3.限制su名單
編輯/etc/pam.d/su文件,加入:
auth required /lib/security/$ISA/pam_wheel.so use_uid
(不少linux發(fā)行版中可能省略pam_wheel.so文件的路徑名,為節(jié)省篇幅,下文也可能省略路徑,但使用絕對(duì)路徑是不會(huì)錯(cuò)的!)
執(zhí)行下面語(yǔ)句將用戶user1加入wheel組:
#gpasswd -a user1 wheel
這將使wheel組中的用戶才可以執(zhí)行su命令,root例外。
auth sufficient /lib/security/$ISA/pam_wheel.so trust use_uid
此行使wheel組的用戶在執(zhí)行su時(shí)不用輸入密碼,很方便,但是很危險(xiǎn)!!慎用!
說(shuō)明:pam_wheel.so是專門(mén)用于su的模塊,用來(lái)阻止非指定組成員執(zhí)行su,默認(rèn)為GID 0,可使用選項(xiàng)group=group_name來(lái)指定某個(gè)組的用戶可以su,或再加上選項(xiàng)deny來(lái)“取反”,即禁止某些組使用su。上文中的“use_uid”是系統(tǒng)中就定義好的,具體什么意思/etc/pam.d/su文件里有說(shuō)明。
4.限制 ssh 使用者名單
編輯/etc/pam.d/sshd 文件,(其中/etc/ssh_users為使用者名單的文件名)
auth required pam_listfile.so item=user sense=allow file=/etc/ssh_users onerr=fail
建立/etc/ssh_users文件,執(zhí)行以下語(yǔ)句:
echo user1 >> /etc/ssh_users
只有/etc/ssh_users文件中列出的用戶能用ssh登錄主機(jī)。
說(shuō)明:
item選項(xiàng)表示指定文件中數(shù)據(jù)的類型。可用值為:user,group,tty,shell,ruser,rhost。一般用user或group,四個(gè)值不常用,有興趣自己測(cè)試。
sense選項(xiàng)表示對(duì)指定文件中的數(shù)據(jù)的訪問(wèn)權(quán)限。可用值為deny和allow,不用介紹了吧。
file選項(xiàng)表示存放相關(guān)數(shù)據(jù)的文件位置。
onerr=fail表示本pam模塊的認(rèn)證出現(xiàn)任何錯(cuò)誤,則返回拒絕訪問(wèn)。注意:返回值不是“訪問(wèn)失敗”,而且返回“拒絕訪問(wèn)”不一定能阻止或允許用戶登錄,還要看第二個(gè)字段的參數(shù)。本例中使用了required,如果返回值為拒絕訪問(wèn),則直接阻止用戶登錄。
該模塊常用于ssh、rlogin、ftp等認(rèn)證:
ssh:直接放入/etc/pam.d/sshd文件。
rlogin:需要放入/etc/pam.d/rlogin,/etc/pam.d/remote、/etc/pam.d/login。配置rlogin必須注意下面內(nèi)容!(這是redhat官方回答,測(cè)試發(fā)現(xiàn)不需要修改login文件即可實(shí)現(xiàn))
上文中已經(jīng)提到2個(gè)pam的實(shí)例了,下面解釋一下pam配置文件中第二個(gè)字段的參數(shù):
sufficient 如果該模塊允許用戶訪問(wèn),則跳過(guò)棧中的其余任何模塊,并返回認(rèn)證成功值給服務(wù)。
requisite 如果該模塊拒絕訪問(wèn),則返回認(rèn)證失敗值給服務(wù),并跳過(guò)棧中的其余模塊。
required 該模塊必須允許訪問(wèn),才能使整個(gè)認(rèn)證過(guò)程成功。
optional 如果沒(méi)有其他模塊起決定作用,則該模塊的結(jié)果將用于決定是否可以訪問(wèn)。
前面兩個(gè)關(guān)鍵詞很容易理解,它們直接允許或拒絕訪問(wèn),并當(dāng)即終止認(rèn)證過(guò)程。該模塊必須有一個(gè)允許訪問(wèn),且其他required的模塊都沒(méi)有拒絕,才能使整個(gè)認(rèn)證過(guò)程成功。最后兩個(gè)關(guān)鍵詞表示是否為認(rèn)證的基本和必須部分。如果棧中已執(zhí)行的模塊沒(méi)有拒絕或允許訪問(wèn),則認(rèn)證成功與否由綜和所有所需模塊的結(jié)果來(lái)決定。如果至少其中一個(gè)模塊允許訪問(wèn),且其他模塊都沒(méi)有拒絕,則認(rèn)證成功。若所需模塊沒(méi)有達(dá)成明確決定時(shí),則使用可選模塊。
例如/etc/pam.d/rlogin文件的前幾行是這樣的話:
auth required pam_nologin.so
auth required pam_securetty.so
auth required pam_env.so
auth required pam_listfile.so item=user sense=allow file=/etc/rlogin_users onerr=fail
auth sufficient pam_rhosts_auth.so
或
auth required pam_nologin.so
auth required pam_securetty.so
auth required pam_env.so
auth sufficient pam_rhosts_auth.so
auth required pam_listfile.so item=user sense=allow file=/etc/rlogin_users onerr=fail
這會(huì)有很大區(qū)別,使用后者的話,如果需要服務(wù)器上有/etc/hosts.equiv文件,且該文件里包含客戶端的主機(jī)名,則最后一句將無(wú)法禁止該客戶端上的所有用戶登錄!即使那個(gè)用戶列在/etc/rlogin_users文件中,因?yàn)榍耙痪渲甘?#8220;只要遠(yuǎn)程主機(jī)在信任主機(jī)列表里,就不再繼續(xù)下面的認(rèn)證,直接放行!”
5.登錄終端設(shè)置
/etc/securetty文件指定了允許root登錄的tty設(shè)備,由/bin/login程序讀取,
其格式是一個(gè)被允許的名字列表,你可以編輯/etc/securetty且注釋掉如下的行。
# tty1
這時(shí),root就不可在tty1終端登錄。