6.限制su命令
如果您不想任何人能够su作为root,可以编辑/etc/pam.d/su文件,增加如下两行:
authsufficient/lib/security/pam_rootok.sodebug
authrequired/lib/security/pam_wheel.sogroup=isd
这时,仅isd组的用户可以su作为root。此后,如果您希望用户admin能够su作为root,可以运行如下命令:
#usermod-G10admin
7.删减登录信息
默认情况下,登录提示信息包括Linux发行版、内核版本名和服务器主机名等。对于一台安全性要求较高的机器来说这样泄漏了过多的信息。可以编辑/etc/rc.d/rc.local将输出系统信息的如下行注释掉。
#Thiswilloverwrite/etc/issueateveryboot.So,makeanychangesyou
#wanttomaketo/etc/issuehereoryouwilllosethemwhenyoureboot.
#echo"">/etc/issue
#echo"$R"》/etc/issue
#echo"Kernel$(uname-r)on$a$(uname-m)"》/etc/issue
#cp-f/etc/issue/etc/issue.net
#echo》/etc/issue
然后,进行如下操作:
#rm-f/etc/issue
#rm-f/etc/issue.net
#touch/etc/issue
#touch/etc/issue.net
三、限制网络访问
1.NFS访问
如果你使用NFS网络文件系统服务,应该确保您的/etc/exports具有最严格的访问权限设置,也就是意味着不要使用任何通配符、不允许root写权限并且只能安装为只读文件系统。编辑文件/etc/exports并加入如下两行。
/dir/to/exporthost1.mydomain.com(ro,root_squash)
/dir/to/exporthost2.mydomain.com(ro,root_squash)
/dir/to/export是您想输出的目录,host.mydomain.com是登录这个目录的机器名,ro意味着mount成只读系统,root_squash禁止root写入该目录。为了使改动生效,运行如下命令。
#/usr/sbin/exportfs-a
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。
Linux内核存缺陷 66%安卓设备面临受攻击风险2016/01/20
CCERT月报:危险!Linux Glibc曝Ghost幽灵漏洞2015/03/25
Linux 实时镜像服务器的部署2013/03/06
加固Linux SSH保证服务器安全2012/05/08
用Linux实现NAT代替防火墙2012/05/02
基于Linux的嵌入式无线监测数据采集系统2011/01/25
加强企业Linux系统安全的若干方法2010/09/14
投稿、转载或合作,请联系:eduinfo#cernet.com (请将#替换为@)
版权所有:中国教育和科研计算机网网络中心 CERNIC,CERNET
京ICP备15006448号-16 京网文[2017]10376-1180号 
京公网安备 11040202430174号
![京网文[2017]10376-1180号](/images/indexnew/www1024.jpg){kind=link}
关于假冒中国教育网的声明 | 有任何问题与建议请联络:Webmaster@cernet.com