FROM:
http://blog.chinaunix.net/u/13902/showart.php?id=345252
Linux安全設定:
1.禁止Ctrl+Alt+Delete重新啟動機器命令
修改/etc/inittab文件,將"ca::ctrlaltdel:/sbin/shutdown -t3 -r now"一行注釋掉。
2.禁止在ssh下直接用root登錄
編輯/etc/ssh/sshd_config文件
把PermitRootLogin yes前面的“#”去掉,把“yes”改為“no”
有關ssh登錄的安全設定還有很多,更詳細的ssh安全配配置請參考我的《SSH服務簡介》。
3.限制su名單
編輯/etc/pam.d/su文件,加入:
auth required /lib/security/$ISA/pam_wheel.so use_uid
(不少linux發行版中可能省略pam_wheel.so文件的路徑名,為節省篇幅,下文也可能省略路徑,但使用絕對路徑是不會錯的!)
執行下面語句將用戶user1加入wheel組:
#gpasswd -a user1 wheel
這將使wheel組中的用戶才可以執行su命令,root例外。
auth sufficient /lib/security/$ISA/pam_wheel.so trust use_uid
此行使wheel組的用戶在執行su時不用輸入密碼,很方便,但是很危險!!慎用!
說明:pam_wheel.so是專門用于su的模塊,用來阻止非指定組成員執行su,默認為GID 0,可使用選項group=group_name來指定某個組的用戶可以su,或再加上選項deny來“取反”,即禁止某些組使用su。上文中的“use_uid”是系統中就定義好的,具體什么意思/etc/pam.d/su文件里有說明。
4.限制 ssh 使用者名單
編輯/etc/pam.d/sshd 文件,(其中/etc/ssh_users為使用者名單的文件名)
auth required pam_listfile.so item=user sense=allow file=/etc/ssh_users onerr=fail
建立/etc/ssh_users文件,執行以下語句:
echo user1 >> /etc/ssh_users
只有/etc/ssh_users文件中列出的用戶能用ssh登錄主機。
說明:
item選項表示指定文件中數據的類型。可用值為:user,group,tty,shell,ruser,rhost。一般用user或group,四個值不常用,有興趣自己測試。
sense選項表示對指定文件中的數據的訪問權限。可用值為deny和allow,不用介紹了吧。
file選項表示存放相關數據的文件位置。
onerr=fail表示本pam模塊的認證出現任何錯誤,則返回拒絕訪問。注意:返回值不是“訪問失敗”,而且返回“拒絕訪問”不一定能阻止或允許用戶登錄,還要看第二個字段的參數。本例中使用了required,如果返回值為拒絕訪問,則直接阻止用戶登錄。
該模塊常用于ssh、rlogin、ftp等認證:
ssh:直接放入/etc/pam.d/sshd文件。
rlogin:需要放入/etc/pam.d/rlogin,/etc/pam.d/remote、/etc/pam.d/login。配置rlogin必須注意下面內容!(這是redhat官方回答,測試發現不需要修改login文件即可實現)
上文中已經提到2個pam的實例了,下面解釋一下pam配置文件中第二個字段的參數:
sufficient 如果該模塊允許用戶訪問,則跳過棧中的其余任何模塊,并返回認證成功值給服務。
requisite 如果該模塊拒絕訪問,則返回認證失敗值給服務,并跳過棧中的其余模塊。
required 該模塊必須允許訪問,才能使整個認證過程成功。
optional 如果沒有其他模塊起決定作用,則該模塊的結果將用于決定是否可以訪問。
前面兩個關鍵詞很容易理解,它們直接允許或拒絕訪問,并當即終止認證過程。該模塊必須有一個允許訪問,且其他required的模塊都沒有拒絕,才能使整個認證過程成功。最后兩個關鍵詞表示是否為認證的基本和必須部分。如果棧中已執行的模塊沒有拒絕或允許訪問,則認證成功與否由綜和所有所需模塊的結果來決定。如果至少其中一個模塊允許訪問,且其他模塊都沒有拒絕,則認證成功。若所需模塊沒有達成明確決定時,則使用可選模塊。
例如/etc/pam.d/rlogin文件的前幾行是這樣的話:
auth required pam_nologin.so
auth required pam_securetty.so
auth required pam_env.so
auth required pam_listfile.so item=user sense=allow file=/etc/rlogin_users onerr=fail
auth sufficient pam_rhosts_auth.so
或
auth required pam_nologin.so
auth required pam_securetty.so
auth required pam_env.so
auth sufficient pam_rhosts_auth.so
auth required pam_listfile.so item=user sense=allow file=/etc/rlogin_users onerr=fail
這會有很大區別,使用后者的話,如果需要服務器上有/etc/hosts.equiv文件,且該文件里包含客戶端的主機名,則最后一句將無法禁止該客戶端上的所有用戶登錄!即使那個用戶列在/etc/rlogin_users文件中,因為前一句指示“只要遠程主機在信任主機列表里,就不再繼續下面的認證,直接放行!”
5.登錄終端設置
/etc/securetty文件指定了允許root登錄的tty設備,由/bin/login程序讀取,
其格式是一個被允許的名字列表,你可以編輯/etc/securetty且注釋掉如下的行。
# tty1
這時,root就不可在tty1終端登錄。