考试网 >> IT认证 >> Linux >> Linux指导 >> 如何实现LINUX安全

发布时间：2006-06-28 11:00     点击：

[root]# passwd username/--改变用户口令

用户（adm,lp,sync,shutdown,halt,mail,news,uucp,operator,games,gopher,ftp等）

组（adm,lp,mail,news,uucp,games,slipusers,dip,ppusers,popusers等）

用chattr命令给下面的文件加上不可更改属性。

[root]# chattr +i /etc/passwd

[root]# chattr +i /etc/shadow

[root]# chattr +i /etc/group

[root]# chattr +i /etc/gshadow

3、 限制用户权限

　　（1）取消普通用户的控制台访问权限，比如shutdown、reboot、halt等命令。

[root]# rm -f /etc/security/console.apps/<servicename> /--<servicename>是你要注销的程序名。

　　（2）不允许从不同的控制台进行root登陆

编辑"/etc/securetty"文件，再不需要登陆的TTY设备前添加“#”标志，来禁止从该TTY设备进行root登陆。

　　（3）禁止任何人通过su命令改变为root用户

su(Substitute User替代用户)命令允许你成为系统中其他已存在的用户。

[boot]#vi /etc/pam.d/su

########在开头添加下面两行：

auth sufficient /lib/security/pam_rootok.so debug

auth required /lib/security/Pam_wheel.so group=wheel

这表明只有"wheel"组的成员可以使用su命令成为root用户。你可以把用户添加到“wheel”组，以使它可以使用su命令成为root用户

4、禁止不使用的SUID/SGID程序

　　如果一个程序被设置成了SUID root，那么普通用户就可以以root身份来运行这个程序。网管应尽可能的少使用SUID/SGID 程序，禁止所有不必要的SUID/SGID程序。

查找root-owned程序中使用's'位的程序：

[root]# find / -type f \( -perm -04000 -o -perm -02000 \) \-exec ls -lg {} \;

用下面命令禁止选中的带有's'位的程序：

[root]# chmod a-s [program]



四、关闭不必要的服务或端口

然后用“sighup”命令升级“inetd.conf”文件。 (我对这句不太明白，没试过的说）

（1）、[Root]# chmod 600 /etc/inetd.conf /--只允许root来读写该文件。

发表评论： 匿名发表 用户名: 查看评论

您将承担一切因您的行为、言论而直接或间接导致的民事或刑事法律责任 留言板管理人员有权保留或删除其管辖留言中的任意内容 本站提醒：不要进行人身攻击。谢谢配合。