linux安全配置6.pdf

【Linux 安全配置】 在Linux系统中，安全配置至关重要，因为这直接影响到系统的稳定性、数据的安全性以及网络服务的可靠性。以下几点是Linux安全配置的关键要素，它们旨在强化系统安全，防止未授权访问和潜在的攻击。 1. **锁定无用用户账户**： 系统中未使用的用户账户应被锁定，其shell应设为非标准的，例如`/dev/null`，以防止恶意用户利用这些账户登录。可以使用脚本来批量锁定非root用户。 2. **禁用空密码账户**： 空密码账户意味着任何人都能无需密码登录，因此所有账户应设置强壮的密码，或者标记为"NP"或"LOCKED"。可以使用`awk`命令来查找并确认空密码账户。 3. **设置账户过期策略**： 定期更改密码是提高系统安全性的有效方法。对于非root用户，应设置强制90天内更改密码，并在之后的7天内禁止再次更改。此外，应设定密码复杂度，包括大小写字母和数字，至少6位。这可以通过修改`login.defs`文件来实现。 4. **移除配置文件中的"+"符号**： "+"符号可能指向NIS映射，这可能让攻击者获取系统权限。检查`/etc/passwd`，`/etc/shadow`和`/etc/group`文件，确保没有"+"存在。 5. **限制UID为0的账户**： UID为0的账户拥有管理员权限，通常仅root用户应具有此权限。若需其他用户执行管理员任务，推荐使用sudo而非给予其root权限。检查`/etc/passwd`以确认无额外UID为0的账户。 6. **清理root路径中的"."和其他全局可写目录**： 如果root的PATH包含"."或全局可写目录，可能导致运行不受控制的命令，从而危及系统安全。需要修改root的PATH环境变量。 7. **限制用户主目录权限**： 用户主目录权限应设置为755或更少，以保护用户数据不被其他用户写入或执行。使用循环遍历`/etc/passwd`，调整每个用户主目录的权限。 8. **保护隐藏文件**： 隐藏文件（以"."开头）通常是用户的配置文件，应确保它们不具有全局可写权限，以防止数据被窃取或篡改。同样，使用循环检查并调整每个用户目录下的隐藏文件权限。 9. **删除用户rc文件**： 用户的rc文件可能包含未加密的密码，为防止信息泄露，应删除这些文件。使用循环遍历`/etc/passwd`，找出并删除所有用户的rc文件。 以上措施是Linux系统安全配置的基础，通过这些步骤，可以大大提高系统的安全性，降低被黑客攻击的风险。同时，定期进行安全审计和更新安全策略也是保持系统安全的关键。