接上文,继续介绍一些Linux服务器的安全配置。
#6、强密码策略。
#6.1 密码生命周期。
获取密码过期信息,输入:
我们也可以在 /etc/shadow 文件中定义这些字段:
{userName}:{password}:{lastpasswdchanged}:{Minimum_days}:{Maximum_days}:{Warn}:{Inactive}:{Expire}:
其中:Minimum_days 定义密码修改的最小时间间隔,也就是用户能够修改密码的最小时间间隔。Maximum_days 定义密码有效的时间间隔,超过这个时间,用户就必须修改密码。Warn 定义口令过期多少天前开始向用户提示进行口令修改。Expire 定义从1970年1月1日到过期时的天数,之后该用户将无法再登录。
建议使用 chage 命令,而不是修改 /etc/shadow 文件
#6.2、禁止使用之前用过的密码。
#6.3、登录失败后锁定用户。
在Linux中可以使用 faillog 命令来显示失败的登录或者设置失败登录限制。查看失败的登录,可以输入:
faillog
解锁登录失败的用户,运行
faillog -r -u userName
注意可以使用 passwd 命令来锁定或解锁用户密码。
#6.4、如何来检查是否有账号使用了空口令。
使用如下命令:
锁定所有空密码的账户
#6.5、确保没有非Root用户的UID为0。
只有Root用户的UID为0,其具有系统的所有权限。使用下面的命令进行检查:
应该仅能看到root一行的结果,如果还有其他用户,请将这些用户删除。
#7、禁止root用户登录。
永远不要使用root用户登录,应该使用 sudo 来执行需要root权限的命令。sudo 避免了root口令的共享,同时提供了一些审计和追踪的功能支持。
#8、服务器的物理安全。
我们必须确保服务器的物理安全,配置 BIOS 禁止从外部设备启动。设置 BIOS 和 grub boot loader 的密码。所有的设备应当安全的存放在IDC(Internet Data Center)中,并且安排了适当的机房安检。
#9、禁用不需要的服务。
禁用所有不必要的服务和守护进程,并且将他们从随系统启动中删除。使用下面的命令来检查是否有服务随系统启动。
要禁用服务,可以使用下面的命令:
#9.1、检查网络监听的端口。
使用 netstat 命令查看服务器中有哪些监听端口
# netstat -tulpn
如果有不需要的服务,可以使用 chkconfig 进行关闭。如果需要对外屏蔽,可以使用 iptables 。
#10、删除X Windows。
对服务器来说,X Windows完全没有必要。可以使用包管理工具删除。
# yum groupremove "X Window System"
![linux-svn卸载与安装[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)