14. 阻止任何人su作為root.
如果你不想任何人能夠su作為root,你能編輯/etc/pam.d/su加下面的行:
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=isd
味著僅僅isd組的用戶可以su作為root.
然後,如果你希望用戶admin能su作為root.就運行下面的命令。
root@deep]# usermod -G10 admin
16. 資源限制
對你的系統上所有的用戶設置資源限制可以防止DoS類型攻擊(denial of service attacks)
如最大進程數,內存數量等。例如,對所有用戶的限制象下面這樣:
編輯/etc/security/limits.con加:
* hard core 0
* hard rss 5000
* hard nproc 20
你也必須編輯/etc/pam.d/login文件加/檢查這一行的存在。
session required /lib/security/pam_limits.so
上面的命令禁止core files“core 0”,限制進程數為“nproc 50“,且限制內存使用
為5M“rss 5000”。
17. The /etc/lilo.conf ile
a) Add: restricted
加這一行到每一個引導映像下面,就這表明如果你引導時用(linux single),則需要一個password.
b) Add: password=some_password
當與restricted聯合用,且正常引導時,需要用戶輸入密碼,你也要確保lilo.con
文件不能被不屬於root的用戶可讀,也免看到密碼明文。下面是例子:
編輯/etc/lilo.con加:
boot=/dev/sda
map=/boot/map
install=/boot/boot.b
prompt
timeout=50
Default=linux
restricted ?add this line.
password=some_password ?add this line.
image=/boot/vmlinuz-2.2.12-20
label=linux
initrd=/boot/initrd-2.2.12-10.img
root=/dev/sda6
read-only
root@deep]# chmod 600 /etc/lilo.conf (不再能被其他用戶可讀).
root@deep]# /sbin/lilo -v (更新lilo配置).
root@deep]# chattr +i /etc/lilo.conf(阻止該文件被修改)
18. 禁止 Control-Alt-Delete 重啟動機器命令
root@deep]# vi /etc/inittab
ca::ctrlaltdel:/sbin/shutdown -t3 -r now
To
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now
root@deep]# /sbin/init q
