如何限制Linux控制台访问

所以在这台Linux服务器投入生产使用之后，就需要对其访问进行限制，否则的话有可能会对Linux服务器带来安全隐患。 一、限制控制台访问 在Linux *** 作系统中所有的命令在系统中都是以文件的形式体现出来的。如果需要限制或者禁用控制台下的访问，只需要把某些文件的连接注释掉即可。比如我们要禁止所有的控制台访问(包括程序与应用文件)，则可以把目录/etc/pam.d下面的所有文件中包含pam_console.so的行注释掉。 二、禁止使用控制台程序 为了提高Linux服务器系统的安全性，一个最简单也是被很多系统管理员所采用的方法就是禁止使用相关的控制台程序。众所周知，Linux *** 作系统是一个多用户的 *** 作系统。当其他用户正连在 *** 作系统上的时候，如果某个用户强制执行shutdown命令的话，那么无疑会让其他用户正在修改的文件发生数据丢失。为此当Linux服务器部署完毕之后，需要通过某些方式禁止用户使用控制台程序。 要实现这个目的也比较简单，如主要通过如下命令即可： rm –f /etc/security/console.apps/servicename 三、禁止使用控制台程序应用之禁用Xwindow服务 在把Linux服务器投入到生产后，最好能够把Xwindow这个服务程序删除掉。这个删除的方法也很简单，就是上面我提到过的禁止使用控制台程序的方法。其实Linux *** 作系统在启动的时候，是先进入到控制台。然后再在控制台中使用startx命令启动X Window图形化管理界面。系统管理员能够通过禁用控制台程序的方法，把这图形化管理程序禁用掉： rm –f /etc/security/console.apps/xserver 执行这个命令后，普通用户就无法登陆到图形化的管理界面了。但是在有必要的情况下，root特权用户仍然可以启动图形化管理界面。所以北街建议，如果真的要在XWindow图形化管理界面下部署应用程序的话，那么在部署完成后请系统管理员通过上面这条命令把这个XWindow应用程序禁用掉，以提高Linux服务器的安全性与性能，让其CPU与内存资源能够用在刀刃上。 Linux *** 作系统作为服务器最大的特色在于稳定的系统内核。而在图形化界面与桌面环境来说，虽然可以跟Windows *** 作系统相抗衡，但是并没有明显的优势。而且从一定程度上来说，这些功能还会影响到Linux *** 作系统本身的性能与安全。如果Linux *** 作系统是用来实现服务器 *** 作系统的，则最好在部署的时候不需要安装这两个服务。

强制访问控制

通过无法回避的访问限制来阻止直接或间接地非法入侵。

自主访问控制

管理的方式不同就形成不同的访问控制方式。一种方式是由客体的属主对自己的客体进行管理，由属主自己决定是否将自己客体的访问权或部分访问权授予其他主体，这种控制方式是自主的，我们把它称为自主访问控制（Discretionary Access Control——DAC）。在自主访问控制下，一个用户可以自主选择哪些用户可以共享他的文件。Linux系统中有两种自主访问控制策略，一种是9位权限码（User-Group-Other），另一种是访问控制列表ACL（Access Control List）。

强制访问控制

强制访问控制（Mandatory Access Control——MAC），用于将系统中的信息分密级和类进行管理，以保证每个用户只能访问到那些被标明可以由他访问的信息的一种访问约束机制。通俗的来说，在强制访问控制下，用户（或其他主体）与文件（或其他客体）都被标记了固定的安全属性（如安全级、访问权限等），在每次访问发生时，系统检测安全属性以便确定一个用户是否有权访问该文件。其中多级安全（MultiLevel Secure, MLS）就是一种强制访问控制策略。

---