Linux（redhat5.2）基本实验之系统安全常规优化

xinhu1300

系统安全常规优化

su、sudo实验一：使用 su sudo 控制用户账号权限

需求描述：

1. 对用于远程登录的管理用户 radmin，允许其通过执行“su -”命令切换到 root 用户；其他所有 用户均禁止使用 su 切换身份； 2. 系统组的用户 zhangsan 负责公司员工的账号管理，允许其通过 sudo 方式添加/删除用户及修改 用户相关信息(包括密码)，但是不允许其修改 root 用户的密码等信息； 3. 对系统管理员 lisi，允许其通过 sudo 方式执行/sbin、/usr/sbin 目录下的所有命令，并且不需要密 码验证； 4. 所有用户通过 sudo 执行的每一条命令，均以日志记录的形式写入到文件/var/log/sudo 中。

实验步骤：

1. 修改 su 的 pam 文件

# vi /etc/pam.d/su                        .auth required pam_wheel.so

# usermod

-G

wheel

radmin

use_uid

2. 修改 sudoers 文件

# vi /etc/sudoers Cmnd_Alias ALLOW_CMD = /usr/sbin/useradd，/usr/sbin/userdel， /usr/sbin/usermod -*，/usr/bin/passwd [a-zA-Z]*

Cmnd_Alias

DENY_CMD =

! /usr/bin/passwd

\

root

root， /usr/sbin/usermod -*!

zhangsan ALL=ALLOW_CMD，DENY_CMD

3. 修改 sudoers 文件

# vi /etc/sudoers                   :lisi ALL=NOPASSWD:/usr/sbin/*，/sbin/*

4. 添加日志功能

# vi /etc/sudoers Defaults logfile = "/var/log/sudo"

# vi /etc/syslog.conf local2.debug/var/log/sudo

# service

syslog

restart

　　

实验二：为系统引导和登录提供安全加固

需求描述：

禁止非授权用户使用系统启动盘从光盘引导系统；    禁止非授权用户在引导服务器时通过单用户模式进入系统；    防止普通用户获取 GRUB 密码，防止 grub.conf 文件被无意中修改或删除；    在服务器本地仅开放 tty1、tty2 控制台终端，限制 root 用户只能从 tty1 登陆，其他普通用户只能 从 tty2 登陆； 5. 屏蔽掉 Ctrl + Alt + Del 热键重启功能； 6. 所有用户登录到 shell 后，默认超过 5 分钟没有操作则自动注销。

1. 2. 3. 4.

实验步骤：

1. 调整 BIOS 的启动顺序，将光驱启动调整到下面，然后设置 BIOS 密码(略)。

2. 设置 GRUB 修改密码

添加这一行

3. 锁定 GRUB 配置文件

# chattr +i

4. 限制终端登录

/boot/grub/grub.conf

　　

# vi /etc/pam.d/login accountrequired

pam_access.so

# vi /etc/security/access.conf - ：ALL EXCEPT root ：tty1

5. 设置 inittab 文件，禁用 Ctrl + Alt + Del 三热键

6. 设置 profile 文件，调整 5 分钟自动注销

# vi /etc/profile export TMOUT = 300