服务器安全加固 - Linux

查看 /etc/passwd 文件查看是否有无用的账号，如果存在则删除，降低安全风险。

*** 作步骤：

*** 作步骤：

*** 作步骤

*** 作步骤

使用命令 vim /etc/pamd/su 修改配置文件，在配置文件中添加行。
例如，只允许admin组用户su到root，则添加 auth required pam_wheelso group=admin 。

可选为了方便 *** 作，可配置admin支持免密sudo：在 /etc/sudoers 文件中添加 admin ALL=(ALL) NOPASSWD:ALL

为了防止使用"su"命令将当前用户环境变量带入其它用户，修改/etc/logindefs添加ALWAYS_SET_PATH=yes并保存。

*** 作步骤

*** 作步骤：

查看所有服务列表 systemctl list-units --type=service

*** 作步骤

使用命令 vim /etc/ssh/sshd_config 编辑配置文件。

配置文件修改完成后，重启sshd服务生效（systemctl restart sshd）。

*** 作步骤

修改/etc/profile 配置文件，添加行 umask 027 ， 即新创建的文件属主拥有读写执行权限，同组用户拥有读和执行权限，其他用户无权限。

*** 作步骤

修改 /etc/profile 配置文件，设置为 TMOUT=600， 表示超时10分钟无 *** 作自动退出登录。

*** 作步骤

Linux系统默认启用以下类型日志，配置文件为 /etc/rsyslogconf：

通过上述步骤，可以在 /var/log/history 目录下以每个用户为名新建一个文件夹，每次用户退出后都会产生以用户名、登录IP、时间的日志文件，包含此用户本次的所有 *** 作（root用户除外）

服务器安全加固 - Linux - wubolive - 博客园

/etc是用来存放系统主要的配置文件，例如人员的账号密码文件、各种服务的起始文件等。一般来说，这个目录下的各文件属性是可以让一般用户用户查阅的，但是只有root有权利修改。

早期UNIX中，贝尔实验室的解释是：etcetra directory 。 etc 就是Et cetra。表示其他、等等什么的，英语里能常常看都这个缩写的。是用来放其他不能归类到其他目录中的内容。

后来FHS规定用来放配置文件，就解释为："Editable Text Configuration" 或者 "Extended Tool Chest"。

扩展资料

/etc下的目录

1、/etc/passwd

用户数据库，其中的域给出了用户名、真实姓名、家目录、加密的口令和用户的其他信息

2、/etc/mtab

当前安装的文件系统列表，由scripts初始化，并由mount 命令自动更新需要一个当前安装的文件系统的列表时使用，例如df命令。

3、/etc/shadow

在安装了影子口令软件的系统上的影子口令文件影子口令文件将/etc/passwd 文件中的加密口令移动到/etc/shadow中，而后者只对root可读，这使破译口令更困难。

4、/etc/securetty

确认安全终端，即哪个终端允许root登录一般只列出虚拟控制台，这样就不可能通过modem或网络闯入系统并得到超级用户特权。

5、/etc/shells

列出可信任的shell，chsh 命令允许用户在本文件指定范围内改变登录shell提供一台机器FTP服务的服务进程ftpd检查用户shell是否列在 /etc/shells 文件中，如果不是将不允许该用户登录。

6、/etc/termcap

终端性能数据库，说明不同的终端用什么"转义序列"控制。写程序时不直接输出转义序列(这样只能工作于特定品牌的终端)，而是从/etc/termcap中查找要做的工作的正确序列。这样，多数的程序可以在多数终端上运行。

---