网络工程师必会的Linux系统安全常规优化

网络存在的这危险，就是因为一些人对我们系统的破坏，所以做好Linux系统的安全优化是十分重要的一项工作。所以我们网络工程师就要会基本的优化工作了。

一、
一、     一、用户账号安全优化
1、                  1.基本安全措施


确认程序或服务用户的登录shell不可用
vi
/etc/passwd
usermod
–s
/sbin/nologin
rpm

删除系统中不使用的用户和组
passwd
-l
zhangsan或
vi
/etc/shadow（用户名前加！）
userdel
lp

限制用户密码的最小长度
vi
/etc/pam.d/system-auth
password
requisite
pam_cracklib.so
try_first_pass
retry=3
minlen=12

限制记录命令历史的条数
HISTSIZE=100

设置闲置超时自动注销终端
vi
/etc/profile
export
TMOUT=600

2.
1、
使用su切换切换用户身份
gpasswd
-a
zhangsan
wheel
vi
/etc/pam.d/su

auth
required
pam_wheel.so
use_uid

1、
使用sudo提升执行权限
vi
/etc/sudoers
或 visudo
用户
主机名=（权限用户）
NOPASSWD:命令列表
lisi
localhost=/sbin/ifconfig
jerry
localhost= NOPASSWD:/sbin/ifconfig
%wheel
ALL=(ALL)
NOPASSWD:ALL
wanglu
localhost=(lisi)
NOPASSWD:ALL

一、 二、文件和文件系统安全优化

关闭不需要的系统服务，如cupsd、bluetooth等
禁止普通用户执行init.d目录中的脚本


chmod
-R o-rwx
/etc/init.d
或
chmod
-R 750
/etc/init.d/
                   禁止普通用户执行控制台程序

cd
/etc/security/console.apps/

tar
jcpvf
/etc/conheplpw.tar.bz2
poweroff
halt
reboot
--remove
                   去除程序文件中非必需的set-uid或set-gid附加权限

find
/
-type
f
-perm
+6000
>
/etc/sfilelist

vi
/usr/sbin/chksfile


#!/bin/bash

OLD_LIST=/etc/sfilelist

for
i
in
`find
/
-type
f
-perm
+6000`

do

grep
-F
“$i”
$OLD_LIST
>
/dev/null

[
$?
-ne
0
]
&&
ls
-lh
$i

done

chmod
700
/usr/bin/chksfile



除了除了这些，还有许多别的方法，这都是我日常整理和我在http://www.beidaqingniao.org/question/0722215.html搜集到的内容，只要我们平时多去积累，就一定能将我们的系统维护的好，这样就可以避免不必要的麻烦了。希望这些办法对与大家维护系统有所帮助吧!

顶一个