1.禁止Ctrl+Alt+Delete重新啟動(dòng)機(jī)器命令
修改/etc/inittab文件,將"ca::ctrlaltdel:/sbin/shutdown -t3 -r now"一行注釋掉�。
2.禁止在ssh下直接用root登錄
編輯/etc/ssh/sshd_config文件
把PermitRootLogin yes前面的"#"去掉����,把"yes"改為"no"
有關(guān)ssh登錄的安全設(shè)定還有很多���,更詳細(xì)的ssh安全配配置請(qǐng)參考我的《SSH服務(wù)簡(jiǎn)介》�����。
3.限制su名單
編輯/etc/pam.d/su文件�����,加入:
auth required /lib/security/$ISA/pam_wheel.so use_uid
?。ú簧賚inux發(fā)行版中可能省略pam_wheel.so文件的路徑名���,為節(jié)省篇幅,下文也可能省略路徑�,但使用絕對(duì)路徑是不會(huì)錯(cuò)的!)
執(zhí)行下面語(yǔ)句將用戶user1加入wheel組:
#gpasswd -a user1 wheel
這將使wheel組中的用戶才可以執(zhí)行su命令,root例外�����。
auth sufficient?? /lib/security/$ISA/pam_wheel.so trust use_uid
此行使wheel組的用戶在執(zhí)行su時(shí)不用輸入密碼�����,很方便���,但是很危險(xiǎn)?���?�!慎用��!
說(shuō)明:pam_wheel.so是專門用于su的模塊�����,用來(lái)阻止非指定組成員執(zhí)行su���,默認(rèn)為GID 0�,可使用選項(xiàng)group=group_name來(lái)指定某個(gè)組的用戶可以su,或再加上選項(xiàng)deny來(lái)"取反"���,即禁止某些組使用su��。上文中的"use_uid"是系統(tǒng)中就定義好的����,具體什么意思/etc/pam.d/su文件里有說(shuō)明�����。
4.限制 ssh 使用者名單
編輯/etc/pam.d/sshd 文件���,(其中/etc/ssh_users為使用者名單的文件名)
auth required pam_listfile.so item=user sense=allow file=/etc/ssh_users onerr=fail
建立/etc/ssh_users文件���,執(zhí)行以下語(yǔ)句:
echo user1 >> /etc/ssh_users
只有/etc/ssh_users文件中列出的用戶能用ssh登錄主機(jī)。
說(shuō)明:
item選項(xiàng)表示指定文件中數(shù)據(jù)的類型��?����?捎弥禐椋簎ser,group,tty,shell,ruser,rhost����。一般用user或group,四個(gè)值不常用����,有興趣自己測(cè)試。
sense選項(xiàng)表示對(duì)指定文件中的數(shù)據(jù)的訪問(wèn)權(quán)限�。可用值為deny和allow���,不用介紹了吧���。
file選項(xiàng)表示存放相關(guān)數(shù)據(jù)的文件位置。
onerr=fail表示本pam模塊的認(rèn)證出現(xiàn)任何錯(cuò)誤��,則返回拒絕訪問(wèn)���。注意:返回值不是"訪問(wèn)失敗"�,而且返回"拒絕訪問(wèn)"不一定能阻止或允許用戶登錄�,還要看第二個(gè)字段的參數(shù)。本例中使用了required��,如果返回值為拒絕訪問(wèn)��,則直接阻止用戶登錄。
該模塊常用于ssh����、rlogin、ftp等認(rèn)證:
ssh:直接放入/etc/pam.d/sshd文件���。
rlogin:需要放入/etc/pam.d/rlogin�����,/etc/pam.d/remote����、/etc/pam.d/login����。配置rlogin必須注意下面內(nèi)容!(這是redhat官方回答��,測(cè)試發(fā)現(xiàn)不需要修改login文件即可實(shí)現(xiàn))
上文中已經(jīng)提到2個(gè)pam的實(shí)例了����,下面解釋一下pam配置文件中第二個(gè)字段的參數(shù):
sufficient??? 如果該模塊允許用戶訪問(wèn),則跳過(guò)棧中的其余任何模塊,并返回認(rèn)證成功值給服務(wù)�。
requisite??? 如果該模塊拒絕訪問(wèn),則返回認(rèn)證失敗值給服務(wù)����,并跳過(guò)棧中的其余模塊。
required??? 該模塊必須允許訪問(wèn)����,才能使整個(gè)認(rèn)證過(guò)程成功���。
optional??? 如果沒(méi)有其他模塊起決定作用���,則該模塊的結(jié)果將用于決定是否可以訪問(wèn)。
前面兩個(gè)關(guān)鍵詞很容易理解���,它們直接允許或拒絕訪問(wèn)����,并當(dāng)即終止認(rèn)證過(guò)程����。該模塊必須有一個(gè)允許訪問(wèn),且其他required的模塊都沒(méi)有拒絕,才能使整個(gè)認(rèn)證過(guò)程成功����。最后兩個(gè)關(guān)鍵詞表示是否為認(rèn)證的基本和必須部分。如果棧中已執(zhí)行的模塊沒(méi)有拒絕或允許訪問(wèn)���,則認(rèn)證成功與否由綜和所有所需模塊的結(jié)果來(lái)決定����。如果至少其中一個(gè)模塊允許訪問(wèn)�,且其他模塊都沒(méi)有拒絕,則認(rèn)證成功����。若所需模塊沒(méi)有達(dá)成明確決定時(shí),則使用可選模塊�����。
例如/etc/pam.d/rlogin文件的前幾行是這樣的話:
auth required???? pam_nologin.so
auth required???? pam_securetty.so
auth required???? pam_env.so
auth required???? pam_listfile.so item=user sense=allow file=/etc/rlogin_users onerr=fail
auth sufficient?? pam_rhosts_auth.so
或
auth required???? pam_nologin.so
auth required???? pam_securetty.so
auth required???? pam_env.so
auth sufficient?? pam_rhosts_auth.so
auth required???? pam_listfile.so item=user sense=allow file=/etc/rlogin_users onerr=fail
這會(huì)有很大區(qū)別�,使用后者的話,如果需要服務(wù)器上有/etc/hosts.equiv文件�,且該文件里包含客戶端的主機(jī)名,則最后一句將無(wú)法禁止該客戶端上的所有用戶登錄�����!即使那個(gè)用戶列在/etc/rlogin_users文件中,因?yàn)榍耙痪渲甘?只要遠(yuǎn)程主機(jī)在信任主機(jī)列表里��,就不再繼續(xù)下面的認(rèn)證��,直接放行���!"
5.登錄終端設(shè)置
/etc/securetty文件指定了允許root登錄的tty設(shè)備��,由/bin/login程序讀取,
其格式是一個(gè)被允許的名字列表�,你可以編輯/etc/securetty且注釋掉如下的行。
# tty1
這時(shí)���,root就不可在tty1終端登錄��。
關(guān)鍵詞標(biāo)簽:linux,linux系統(tǒng),linu
安裝紅帽子RedHat Linux9.0操作系統(tǒng)教程