關於服務器本地終端上的安全控制,可以從以下幾個方面著手:
1、即時禁止普通用戶登錄
當服務器正在進行備份或調試等維護工作時,可能不希望再有新的用戶登錄系統,這時候,只需要簡單的建立/etc/nologin文件即可,login程序會檢查/etc/nologin文件是否存在,如果存在則拒絕普通用戶登錄系統(root用戶不受限制),刪除該文件或者重啟系統後就可恢復。
touch /etc/nologin
2、控制服務器開放的tty終端
linux系統默認開放了tty1-6共六個本地終端(控制台),如果需要禁用多余的tty終端,可以修改/etc/inittab文件。並將對應的行注釋掉。
3、控制允許root用戶登錄的tty終端
在linux系統中,login程序通常會讀取/etc/securetty文件,已決定允許root用戶從哪些終端(安全終端)登錄系統。若要禁止root用戶從某個終端登錄,只需從該文件中刪除或者注釋掉對應的行即可。
eg:禁止root用戶從tty2-tty3終端登錄系統
vi /etc/securetty
本欄目更多精彩內容:http://www.bianceng.cn/OS/Linux/
4、更改系統登錄提示,隱藏內核版本信息登錄linux系統終端時,通常會看到帶有系統名稱,內核版本等內容的提示,如下:許多網絡攻擊者往往利用這些信息來對服務器做進一步的掃描和探測。
通過修改/etc/issue、/etc/issue.net文件(分別對應本地登錄、網絡登錄),可以實現隱藏上述登陸提示信息,或者將提示信息修改為其他內容。重新啟動系統後,新的設置將生效。
5、調整BIOS引導設置:
將第一優先引導設備(First Boot Device)設為當前系統所在硬盤,其他引導設置為“Disabled”。為BIOS設置管理員密碼,安全級別調整為“Setup”
6、防止用戶意外通過Ctrl+Alt+Del熱鍵重啟系統
Ctrl+Alt+Del熱鍵功能配置在/etc/inittab文件中,由init程序加載識別並響應熱鍵。
vi /etc/inittab
//////注釋掉即可
init q //立即生效。
7、GRUB引導菜單加密:
我們知道系統管理中,我們學習過通過修改GRUB引導參數進入單用戶模式,以便於對一些系統問題進行修復,修改GRUB引導參數的方式,使我們不需要密碼就可以進入系統,而且用於root權限,非常方便,而從系統安全的角度看,這決定是一個安全隱患。
為了加強系統引導過程的控制,可以為GRUB設置一個密碼。只有提供正確密碼才允許修改GRUB引導參數。
在grub.conf文件中設置明文密碼:
vi /boot/grub/grub.conf password 123456 title Red Hat Enterprise Linux Server (2.6.18-8.el5) root (hd0,0) ..........................//省略後續內容
在上例中,在“title Red Hat...........”行之前增加了一行“password 123456”的配置。這樣的話,在開機進入GRUB菜單後,直接按“e”鍵無法再對引導參數進行編輯。必須先按“p”鍵,並根據提示輸入正確的GRUB密碼,然後才能按“e”鍵修改引導參數
注:::::若在“root(hd0,0)”行之前添加,則在進入該系統的時候則需要輸入密碼。
本欄目更多精彩內容:http://www.bianceng.cn/OS/Linux/
因為grub.conf默認權限644,明文依然安全性有限,可以設置密文呀!
grub-md5-crypt Password: Retype password: vi /boot/grub/grub.conf password --md5 ~~~~~~~密文密碼 itle Red Hat Enterprise Linux Server (2.6.18-8.el5) root (hd0,0) ..........................//省略後續內容
開機進入系統也是要密碼的~
這樣就好多了.
這是服務器的常規設置;歡迎補充;
本文出自 “Coffee_藍山” 博客,請務必保留此出處http://lansgg.blog.51cto.com/5675165/1243687