Linux安全加固（二）禁止普通用戶su到root/設置SSH終端接入白名單/修改history條數

1、禁止普通用戶su到root管理員、設置能夠su到root的白名單

一、首先看一下正常狀況

 二、能夠看到普通用戶使用su root命令，輸入密碼便可登陸到root用戶

 三、下面開始配置禁止全部普通用戶su到root，打開配置文件，使用命令vim /etc/pam.d/su

 

 四、取消配置文件這一行的註釋，保存退出。

 五、返回普通用戶lu，再次使用su命令嘗試切換至root

 六、此時發現配置已經生效，su命令被拒絕，沒法切換了。

 七、接下來設置容許某些用戶能夠su到root

 八、使用root用戶。打開/etc/login.defs文件，在文件結尾添加SU_WHEEL_ONLY yes ，保存退出

 八、接下來就將能夠將用戶添加到wheel組，就可讓他擁有su命令的權限。usermod -G wheel lu

 九、發現已經能夠成功su到root了

 十、此時只有普通用戶lu能夠使用su到root，其餘普通用戶依然沒法su，使用hl驗證一下

 

 

2、經過配置hosts.allow和hosts.deny限制SSH/TELNET終端接入，設置白名單

　首先查看Redhat6虛擬機的IP地址

 

 

 　打開putty輸入IP，登陸

 

 

　此時能夠成功登陸

 

１、首先配置拒絕接入的IP地址。以root用戶登陸Redhat，打開/erc/hosts.deny文件

  

 在配置文件結尾添加拒絕規則，保存退出

 

 使用putty再次登陸試驗一下，被拒絕了

 

 

 ２、配置容許接入的IP地址。使用root用戶打開/erc/hosts.文件

 

 能夠添加容許的單個IP或是容許的網段，添加規則是這樣的

容許內容	書寫格式（改爲自自須要的IP或IP段）
ssh容許單個ip	sshd:192.168.233.1
ssh容許ip段	sshd:192.168.233.
telnet容許單個ip	in.telnetd:192.168.233.1
telnet容許ip段	in.telnetd:192.168.233.

 

 

 

 

 

 

 

 

 

 

添加本身本機地址保存（注意：此時添加的是本地VMnet8的地址，而不是無限局域網的VLAN地址），試一下

 

 使用putty鏈接

 

 發現此時能夠連通

 那麼設置本機所在網段試一下

 

 

 

 網段方式也能夠通。

 

備註：

１、配置配置hosts.allow和hosts.deny文件後不用重啓服務也能生效

２、hosts.allow的優先級要大於hosts.deny

 

3、修改history條數

首先使用history查看一下

 

 

 雖然如今記錄的命令很少，但其中不乏一些很是敏感的信息，好比管理員密碼，細思極恐

 想要查看當前history條數能夠使用echo $HISTSIZE 命令 

 

 

 

 

 如今咱們對他進行修改。使用管理員帳戶，打開/etc/profile配置文件，找到圖片中所示的字段        HISTSIZE=1000

 

 將條數修改成10保存退出。

 使用命令source /etc/profile，使他如今生效，如今查看history條數

 

 使用history看看什麼效果

 

 如今能夠看到，history只記錄了最後10條命令