接上文,繼續介紹一些Linux伺服器的安全配置。
#6、強密碼政策。
#6.1 密碼生命周期。
擷取密碼過期資訊,輸入:
我們也可以在 /etc/shadow 檔案中定義這些字段:
{userName}:{password}:{lastpasswdchanged}:{Minimum_days}:{Maximum_days}:{Warn}:{Inactive}:{Expire}:
其中:Minimum_days 定義密碼修改的最小時間間隔,也就是使用者能夠修改密碼的最小時間間隔。Maximum_days 定義密碼有效的時間間隔,超過這個時間,使用者就必須修改密碼。Warn 定義密碼過期多少天前開始向使用者提示進行密碼修改。Expire 定義從1970年1月1日到過期時的天數,之後該使用者将無法再登入。
建議使用 chage 指令,而不是修改 /etc/shadow 檔案
#6.2、禁止使用之前用過的密碼。
#6.3、登入失敗後鎖定使用者。
在Linux中可以使用 faillog 指令來顯示失敗的登入或者設定失敗登入限制。檢視失敗的登入,可以輸入:
faillog
解鎖登入失敗的使用者,運作
faillog -r -u userName
注意可以使用 passwd 指令來鎖定或解鎖使用者密碼。
#6.4、如何來檢查是否有賬号使用了空密碼。
使用如下指令:
鎖定所有空密碼的賬戶
#6.5、確定沒有非Root使用者的UID為0。
隻有Root使用者的UID為0,其具有系統的所有權限。使用下面的指令進行檢查:
應該僅能看到root一行的結果,如果還有其他使用者,請将這些使用者删除。
#7、禁止root使用者登入。
永遠不要使用root使用者登入,應該使用 sudo 來執行需要root權限的指令。sudo 避免了root密碼的共享,同時提供了一些審計和追蹤的功能支援。
#8、伺服器的實體安全。
我們必須確定伺服器的實體安全,配置 BIOS 禁止從外部裝置啟動。設定 BIOS 和 grub boot loader 的密碼。所有的裝置應當安全的存放在IDC(Internet Data Center)中,并且安排了适當的機房安檢。
#9、禁用不需要的服務。
禁用所有不必要的服務和守護程序,并且将他們從随系統啟動中删除。使用下面的指令來檢查是否有服務随系統啟動。
要禁用服務,可以使用下面的指令:
#9.1、檢查網絡監聽的端口。
使用 netstat 指令檢視伺服器中有哪些監聽端口
# netstat -tulpn
如果有不需要的服務,可以使用 chkconfig 進行關閉。如果需要對外屏蔽,可以使用 iptables 。
#10、删除X Windows。
對伺服器來說,X Windows完全沒有必要。可以使用包管理工具删除。
# yum groupremove "X Window System"
![linux-svn解除安裝與安裝[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)