1, pour empêcher les utilisateurs normaux arrêt
[SVR1 dans la racine @ ~] # CD /etc/security/console.apps/
[@ SVR1 dans les console.apps root] # mkdir -m 700 Verrouillé
[@ SVR1 dans les console.apps root] # Vidéo Clips poweroff Locked /
2, définissez le mot de passe de l' utilisateur à chaque fois:
mot de passe -m temps le plus court efficace
-M plus long
-W: avertir un Waring
-I: temps d'inactivité inactive
-E: délai d'expiration expire
paramètres sous un mot de passe de connexion utilisateur normal doit être modifié
[root @ localhost ~] # l'chage -d 0 alice
3, nettoyer compte non connexion
pour supprimer des comptes redondants;
/ sbin / nologin, interdire shell connexion
4, opération de verrouillage de compte
[root @ localhost ~] # passwd le -l alice
[root @ localhost ~] # S alice passwd
[root @ localhost ~] # passwd -u alice
[root @ localhost ~] # le usermod -L alice
[root @ localhost ~] # le usermod -U alice
le -l: verrouiller, déverrouiller -u, -S Afficher l' état ,
-L: enfermé dans usermod;
U: déverrouiller la usermod
5, /etc/login.defs profil
pour les nouveaux utilisateurs efficaces
propriétés de contrôle primaire
• PASS_MAX_DAYS
• PASS_MIN_DAYS
• PASS_WARN_AGE
6, définir le nombre maximum d'entrées dans l'historique des commandes
vim / etc / profile -> Paramètres de changement HISTSIZE
HISTSIZE
7, la planification et monter le système de fichiers de
montage option de montage
-o noexec: non applicable
-o nosuid:
SUID: Si un fichier exécutable x ont des privilèges pour tous les utilisateurs. Et ensemble suid, puis le fichier lors de l'exécution de celui - ci a le pouvoir du propriétaire de
8, les systèmes de fichiers montés raisonnable
/ etc / fstab en défaut est l'option de montage,
vous pouvez ajouter ro (lecture seule) et d' autres restrictions
9, fichier verrouiller, déverrouiller
le fichier / etc / hosts deviennent les fichiers en lecture seule absolue
à fichier / etc / hosts ne peut être transformé en contenu supplémentaire
chattr + a / etc / hosts
chattr +/- i / a
lsattr / etc / hosts
+ A: append
+ i: lecture seule (statique)
(Change le + d'attribut immuable)
(+ changer l'attribut d'ajout uniquement)
10, commande de terminal TTY
fichier de configuration / etc / sysconfig / init
ACTIVE_CONSOLES = / dev / ATS [1-6] // défaut permet l'utilisation de 1-6 terminal TTY
interdire immédiatement la connexion des utilisateurs ordinaires
touch / etc / nologin
La valeur par défaut est un tel document, puis créer un fichier vide, l'utilisateur moyen n'est pas connecté, ne permet de se connecter root à partir d' un certain nombre de terminaux
fichier de configuration / etc / securetty
11, connexion terminal de camouflage rapide, la version du système pour éviter les fuites d' informations
#vim / etc / issue // connexion rapide locale
réseau /etc/issue.net// connexion rapide, tels que Telnet
12, interdisant le redémarrage Ctrl + Alt + Suppr
profil: /etc/init/control-alt-delete.conf
[ root @ SVR1 ~] # vim /etc/init/control-alt-delete.conf
commencer sur le contrôle-alt-delete // pour commenter cette ligne
Exec / sbin / -R & lt maintenant l'arrêt .. ..
13 est, la commande d' orientation Grub
guidage disposé à forte densité de rôle:
- limitation de modifier les paramètres d'amorçage
- restreindre l' accès au système
méthode de réglage du mot de passe:
- la --md5 passwd chaîne de mot de passe crypté
- Vous pouvez également, chaîne de mot de passe de texte brut passwd
[root @ SVR1 ~] # grub -md5-crypt // généré chaîne de mot de passe crypté MD5
[SVR1 dans la racine @ ~] # /boot/grub/grub.conf Vim
default = 0
timeout = 3.
mot de passe - tt3gH1 $ 1 $ - MD5 8nZtL70J / Gv / dAaUm / 1
titre Red Hat Enterprise Linux (2.6.32-358.el6.x86_64)
root (hd0, 0) du
noyau /vmlinuz-2.6.32-358.el6.x86_64 .. ..
/initramfs-2.6.32-358.el6.x86_64.img initrd
15, l'initialisation du système d'exploitation
Après contact /.unconfigured # reboot le système vous demandera de changer votre mot de passe, la configuration de l'adresse IP
reboot
Après le redémarrage fichier /.unconfigured disparaît
16, l'utilisation sécuritaire des programmes et services
pour désactiver les services inutiles du système
#ntsysv
système fermé comme le service NetworkManager ou utilisez chkconfig