三、登錄安全 1、自動注銷帳號的登錄,在unix系統中root賬戶是具有最高特權的。如果系統管理員在離開系統之前忘記注銷root賬戶,那將會帶來很大的安全隱患,應該讓系統會自動注銷。通過修改賬戶中“TMOUT”參數,可以實現此功能。TMOUT按秒計算。編輯你的profile文件(vi /etc/profile),在"HISTFILESIZE="後面加入下面這行: TMOUT=300 300,表示300秒,也就是表示5分鐘。這樣,如果系統中登陸的用戶在5分鐘內都沒有動作,那麼系統會自動注銷這個賬戶。你可以在個別用戶的“.bashrc”文件中添加該值,以便系統對該用? 改變這項設置後,必須先注銷用戶,再用該用戶登陸才能激活這個功能。 2、使用PAM(可插拔認證模塊)禁止任何人通過su命令改變為root用戶su(Substitute User替代用戶)命令允許你成為系統中其他已存在的用戶。如果你不希望任何人通過su命令改變為root用戶或對某些用戶限制使用su命令,你可以在su配置文件(在"/etc/pam.d/"目錄下)的開頭添加下面兩行: 編輯su文件(vi /etc/pam.d/su),在開頭添加下面兩行: auth sufficient /lib/security/pam_rootok.so auth required /lib/security/Pam_wheel.so group=wheel 這表明只有"wheel"組的成員可以使用su命令成為root用戶。你可以把用戶添加到“wheel”組,以使它可以使用su命令成為root用戶。添加方法可以用這個命令:chmod -G10 username 。 四、控制台訪問安全 1、取消普通用戶的控制台訪問權限,你應該取消普通用戶的控制台訪問權限。比如shutdown、reboot、halt等命令。 # rm -f /etc/security/console.apps/ 是你要注銷的程序名。 2、不允許從不同的控制台進行root登陸 "/etc/securetty"文件允許你定義root用戶可以從那個TTY設? 傅鍬健D憧梢員嗉?quot;/etc/securetty"文件,再不需要登陸的TTY設備前添加“#”標志,來禁止從該TTY設備進行root登陸。 在/etc/inittab文件中有如下一段話: # Run gettys in standard runlevels 1:2345:respawn:/sbin/mingetty tty1 2:2345:respawn:/sbin/mingetty tty2 #3:2345:respawn:/sbin/mingetty tty3 #4:2345:respawn:/sbin/mingetty tty4 #5:2345:respawn:/sbin/mingetty tty5 #6:2345:respawn:/sbin/mingetty tty6 系統默認的可以使用6個控制台,即Alt+F1,Alt+F2...,這裡在3,4,5,6前面加上“#”,注釋該句話,這樣現在只有兩個控制台可供使用,最好保留兩個。然後重新啟動init進程,改動即可生效!
