Linux安全管理(2)

root對/etc/shadow沒有任何權限

檢查是否對系統帳號進行登陸限制
auth required pam_tally.so deny=5 
account required pam_tally.so 

auth sufficient pam_rootok.so 和 
auth required pam_wheel.so group=wheel

編輯 /etc/pam.d/login文件，
配置auth required pam_securetty.so

echo "This is a private communication system. \
Unauthorized access or use may lead to prosecution.">/etc/motd
sed -i 's/umask 002/umask 077/g' /etc/csh.cshrc

echo "HISTFILESIZE=5" >>/etc/profile
echo "nospoof on" >>/etc/host.conf
chattr +i /etc/passwd 
chattr +i /etc/shadow 
chattr +i /etc/group 
chattr +i /etc/gshadow 

sed -i '2a\auth required pam_tally.so deny=5 unlock_time=600 no_lock_time' /etc/pam.d/sshd

cp -p /proc/sys/net/ipv4/conf/all/accept_redirects /proc/sys/net/ipv4/conf/all/accept_redirects.bak 
sysctl -w net.ipv4.conf.all.accept_redirects="0" 
cp -p /proc/sys/net/ipv4/conf/all/send_redirects /proc/sys/net/ipv4/conf/all/send_redirects.bak 
sysctl -w net.ipv4.conf.all.send_redirects="0" 

Redhat: 
編輯/etc/pam.d/system-auth文件 
配置: 
auth required pam_tally.so deny=5 
account required pam_tally.so 
不能改

Redhat 默認已經關閉了數據包轉發功能。 
可經過如下命令來查看數據包轉發功能是否關閉： 
# cat /proc/sys/net/ipv4/ip_forward 
若是返回值爲0，說明數據包轉發功能已經關閉，爲1則開啓。 
關閉數據包轉發功能： 
命令： #sysctl -w net.ipv4.ip_forward=0 

1.編輯別名文件vi /etc/mail/aliases，刪除或註釋掉下面的行 
#games: root 
#ingres: root 
#system: root 
#toor: root 
#uucp: root 
#manager: root 
#dumper: root 
#operator: root 
#decode: root 
#root: marc 
2.修改後運行命令：/usr/bin/newaliases，使改變生效
這個文件沒有

1.備份配置文件 
#cp -p /proc/sys/net/ipv4/conf/all/send_redirects /proc/sys/net/ipv4/conf/all/send_redirects.bak
 2.執行命令 
#sysctl -w net.ipv4.conf.all.send_redirects="0" 
並修改/proc/sys/net/ipv4/conf/all/send_redirects的值爲0

1.備份配置文件 
#cp -p /proc/sys/net/ipv4/ip_forward /proc/sys/net/ipv4/ip_forward.bak 
2.執行命令 
#sysctl -w net.ipv4.ip_forward="0" 
並修改/proc/sys/net/ipv4/ip_forward的值爲0
chkconfig --level 345 nfslock off

最後才設置禁止root登錄
1.確保/etc/ssh/sshd_config或/etc/ssh2/sshd2_config文件存在。若是不存在，則忽略下面配置步驟。 
2.在sshd_config或sshd2_config中配置：Protocol 2 
3.在sshd_config或sshd2_config中配置：PermitRootLogin no或PermitRootLogin NO
4.執行/etc/init.d/sshd restart

編輯su文件()，在開頭添加下面兩行：  vi /etc/pam.d/su auth sufficient pam_rootok.so 和  echo  "auth sufficient pam_rootok.so" >>/etc/pam.d/su echo  "auth required pam_wheel.so group=root" >>/etc/pam.d/su echo  "auth required pam_wheel.so group=xwtech">>/etc/pam.d/su