系统帐号的优化是服务器安全加固的重要一步。系统中存在很多默认帐号和组,如果不加以管理,会成为安全隐患。这里介绍系统帐户优化的几个方面:
1. 禁用不需要的系统帐户 很多系统默认创建了许多用户,如games、uucp等用户,这些用户一般不需要,应该禁用。可以登录系统后执行以下命令禁用:
bash sudo usermod -L games #锁定games用户 sudo usermod -s /sbin/nologin uucp #修改uucp用户shell
2. 修改密码策略,要求强密码 可以修改/etc/pam.d/system-auth文件,设置密码长度、复杂度等策略,要求强密码。如:
password requisite pam_cracklib.so retry=3 minlen=8 lcredit=-1 dcredit=-1 ocredit=-1
3. 限制root远程登录 应该禁止root用户远程登录,只允许在本地控制台登录。可以修改/etc/ssh/sshd_config文件,设置:
PermitRootLogin no #禁止root远程登录
4. 创建独立管理员 不应直接使用root用户进行日常管理,应创建独立管理员账号。创建 administrators 组并添加用户:
bash groupadd administrators useradd admin1 -G administrators
5. 合理分配用户和组 根据业务和职责合理划分用户和组,不同用户授予不同权限,遵循最少权限原则。可以使用 /etc/passwd 和 /etc/shadow 文件对用户进行管理。
6. 开启帐户锁定策略 可以开启帐户锁定策略,在密码输入错误指定次数后锁定帐户,防止暴力破解。修改/etc/pam.d/system-auth文件:
auth required pam_tally2.so deny=5 unlock_time=900
7. 定期检查无效用户和会话定期检查无效用户、未使用用户和过期会话,并予以删除,减少安全隐患。可以使用 last、lastlog、who、w 命令对会话进行检查。
以上是系统帐户优化和加固的几个关键方面。通过有效管理系统帐户和权限,可以极大减少攻击面,提高服务器安全性。
© 版权声明
本文刊载的所有内容,包括文字、图片、音频、视频、软件、程序、以及网页版式设计等部门来源于互联网,版权均归原作者所有!本网站提供的内容服务于个人学习、研究或欣赏,以及其他非商业性或非盈利性用途,但同时应遵守著作权法及其他相关法律的规定,不得侵犯本网站及相关权利人的合法权利。
联系信息:邮箱aoxolcom@163.com或见网站底部。
联系信息:邮箱aoxolcom@163.com或见网站底部。
THE END
请登录后发表评论
注册
社交帐号登录