Linux安全管理(2)

root对/etc/shadow没有任何权限

检查是否对系统帐号进行登陆限制
auth required pam_tally.so deny=5 
account required pam_tally.so 

auth sufficient pam_rootok.so 和 
auth required pam_wheel.so group=wheel

编辑 /etc/pam.d/login文件，
配置auth required pam_securetty.so

echo "This is a private communication system. \
Unauthorized access or use may lead to prosecution.">/etc/motd
sed -i 's/umask 002/umask 077/g' /etc/csh.cshrc

echo "HISTFILESIZE=5" >>/etc/profile
echo "nospoof on" >>/etc/host.conf
chattr +i /etc/passwd 
chattr +i /etc/shadow 
chattr +i /etc/group 
chattr +i /etc/gshadow 

sed -i '2a\auth required pam_tally.so deny=5 unlock_time=600 no_lock_time' /etc/pam.d/sshd

cp -p /proc/sys/net/ipv4/conf/all/accept_redirects /proc/sys/net/ipv4/conf/all/accept_redirects.bak 
sysctl -w net.ipv4.conf.all.accept_redirects="0" 
cp -p /proc/sys/net/ipv4/conf/all/send_redirects /proc/sys/net/ipv4/conf/all/send_redirects.bak 
sysctl -w net.ipv4.conf.all.send_redirects="0" 

Redhat: 
编辑/etc/pam.d/system-auth文件 
配置: 
auth required pam_tally.so deny=5 
account required pam_tally.so 
不能改

Redhat 默认已经关闭了数据包转发功能。 
可经过如下命令来查看数据包转发功能是否关闭： 
# cat /proc/sys/net/ipv4/ip_forward 
若是返回值为0，说明数据包转发功能已经关闭，为1则开启。 
关闭数据包转发功能： 
命令： #sysctl -w net.ipv4.ip_forward=0 

1.编辑别名文件vi /etc/mail/aliases，删除或注释掉下面的行 
#games: root 
#ingres: root 
#system: root 
#toor: root 
#uucp: root 
#manager: root 
#dumper: root 
#operator: root 
#decode: root 
#root: marc 
2.修改后运行命令：/usr/bin/newaliases，使改变生效
这个文件没有

1.备份配置文件 
#cp -p /proc/sys/net/ipv4/conf/all/send_redirects /proc/sys/net/ipv4/conf/all/send_redirects.bak
 2.执行命令 
#sysctl -w net.ipv4.conf.all.send_redirects="0" 
并修改/proc/sys/net/ipv4/conf/all/send_redirects的值为0

1.备份配置文件 
#cp -p /proc/sys/net/ipv4/ip_forward /proc/sys/net/ipv4/ip_forward.bak 
2.执行命令 
#sysctl -w net.ipv4.ip_forward="0" 
并修改/proc/sys/net/ipv4/ip_forward的值为0
chkconfig --level 345 nfslock off

最后才设置禁止root登录
1.确保/etc/ssh/sshd_config或/etc/ssh2/sshd2_config文件存在。若是不存在，则忽略下面配置步骤。 
2.在sshd_config或sshd2_config中配置：Protocol 2 
3.在sshd_config或sshd2_config中配置：PermitRootLogin no或PermitRootLogin NO
4.执行/etc/init.d/sshd restart

编辑su文件()，在开头添加下面两行：  vi /etc/pam.d/su auth sufficient pam_rootok.so 和  echo  "auth sufficient pam_rootok.so" >>/etc/pam.d/su echo  "auth required pam_wheel.so group=root" >>/etc/pam.d/su echo  "auth required pam_wheel.so group=xwtech">>/etc/pam.d/su