如果您想限制su切换为root用户的权力,而只允许指定用户组使用su,可以编辑/etc/pam.d/su,其中有如下注释说明
复制代码
# Uncomment the following line to require a user to be in the "wheel" group.
#auth required pam_wheel.so use_uid
修改其中第二行为如下,保存
复制代码
auth required pam_wheel.so group=mysugroup
创建mysugroup用户组,并把适当用户加到该组中,以后将只有该组用户可以使用su切换为root. 在实际服务器上,最好再限制root用户不能ssh远程登录。
7.删减登录信息
默认情况下,登录提示信息包括Linux发行版、内核版本名和服务器主机名等。对于一台安全性要求较高的机器来说这样泄漏了过多的信息。可以编辑/etc/rc.d/rc.local将输出系统信息的如下行注释掉。(注:在centos 6 下,该文件里面没有如下内容)
复制代码
# This will overwrite /etc/issue at every boot. So, make any changes you
# want to make to /etc/issue here or you will lose them when you reboot.
# echo “” > /etc/issue
# echo “$R” >> /etc/issue
# echo “Kernel $(uname -r) on $a $(uname -m)” >> /etc/issue
# cp -f /etc/issue /etc/issue.net
# echo >> /etc/issue
然后,进行如下操作:
复制代码
# rm -f /etc/issue
# rm -f /etc/issue.net
# touch /etc/issue
# touch /etc/issue.net
8、更改SSH端口,最好改为10000以上,别人扫描到端口的机率也会下降
不允许使用低版本的SSH协议
vi /etc/ssh/sshd_config
将#protocol 2,1改为
protocol 2
(注:centos 6下已默认取消了低版本协议)
将PORT改为1000以上端口
vi /etc/ssh/sshd_config
Port 10000
同时,创建一个普通登录用户,并取消直接root登录
useradd 'username'
passwd 'username'
vi /etc/ssh/sshd_config
PermitRootLogin no #取消root直接远程登录
X11Forwarding no #(服务器一般不会开X,所以X转发就不要开了吧) 取消X11转发
9、关闭那些不需要的服务 ,记住少开一个服务,就少一个危险。
以下仅列出需要启动的服务,未列出的服务一律关闭:
复制代码
#setup
acpid
anacron
cpuspeed
crond
irqbalance #仅当服务器CPU为S.M.P架构或支持双核心、HT技术时,才需开启,否则关闭。
microcode_ctl
network
random #(centos 6 里没有该服务)
sendmail
sshd
syslog
yum-updatesd
10、启用iptables 防火墙,对增加系统安全有许多好处。设置好防火墙的规则。
