Linux系统安全基础集锦
Linux系统基本安全措施:
1)系统帐号清理:
常见的非登录用户包括bin、daemon、adm、lp、mail、nobody、apache、mysql、dbus、ftp、gdm等。
为了保证系统安全,这些用户的登录shell通常是/sbin/nologin,表示禁止终端登录:
还有一部分很少用到的用户,如news、uucp、games、gopher,这些用户可以视为冗余帐号,直接删除即可。
对于Linux服务器中长期不用的用户帐号,若无法确定是否应该删除,可以暂时将其锁定。
推荐阅读:
eg:锁定、解锁zqq的用户帐号:
如果服务器中的用户帐号已经固定,不再进行修改,可以采用锁定帐号配置文件的方法。
使用chattr 命令,分别结合"+i" 、"-i"选项来锁定、解锁文件,使用lsattr命令查看文件锁定情况。
帐号文件被锁定的情况下,其内容将不允许变更。
2)密码安全控制:
为了降低密码被猜出或被暴力破解的风险,用户应养成定期更改密码的习惯。
管理员可以在服务器端限制用户密码的最大有效天数,对于密码已过期的用户,登录时将被要求重新设置,否则将拒绝登录。
eg:将密码的有效期设为30天,chage用于设置密码时限:
3)命令历史、自动注销:
shell环境的命令机制为用户提供了极大的便利,但另一方面也给用户带来了极大的风险。
Bash终端环境中,历史命令的记录条数由变量HISTSIZE控制,默认为1000条。通过修改/etc/profile文件中的HISTSIZE变量值,可以影响系统中的所有用户。
eg:设置历史命令记录条数最多只记录150条:
除此之外,还可以修改用户宿主目录中的~/.bash_logout文件,添加清空历史命令的操作语句。
eg:当用户退出已登录Bash环境以后,删除所记录的历史命令:
Bash终端环境中,可以设置一个闲置超时时间,当超过指定的时间没有任何操作即自动注销终端。
闲置超时由变量TMOUT来控制,默认单位为秒。
当正在进行程序代码编译、修改系统配置等耗时较长的操作时,避免设置TMOUT变量,必要时使用“ unsetTMOUT”命令取消TMOUT变量。