過(guò)去的一年微軟重磅出擊推出了windows 7，不過(guò)，而Linux的發(fā)展非常迅速，有趕超微軟的趨勢(shì)。這里介紹Linux的知識(shí)，讓你學(xué)好應(yīng)用Linux系統(tǒng)。今天一講Linux安全設(shè)定，希望你記住Linux安全設(shè)定。

1.禁止Ctrl+Alt+Delete重新啟動(dòng)機(jī)器命令

修改/etc/inittab文件，將"ca::ctrlaltdel:/sbin/shutdown -t3 -r now"一行注釋掉。

2.禁止在ssh下直接用root登錄

編輯/etc/ssh/sshd_config文件

把PermitRootLogin yes前面的“#”去掉，把“yes”改為“no”

3.限制su名單

編輯/etc/pam.d/su文件，加入：

auth required /lib/security/$ISA/pam_wheel.so use_uid

（不少Linux發(fā)行版中可能省略pam_wheel.so文件的路徑名，為節(jié)省篇幅，下文也可能省略路徑，但使用絕對(duì)路徑是不會(huì)錯(cuò)的！）

執(zhí)行下面語(yǔ)句將用戶user1加入wheel組：

#gpasswd -a user1 wheel

這將使wheel組中的用戶才可以執(zhí)行su命令，root例外。

auth       sufficient   /lib/security/$ISA/pam_wheel.so trust use_uid

此行使wheel組的用戶在執(zhí)行su時(shí)不用輸入密碼，很方便，但是很危險(xiǎn)?。∩饔?！

說(shuō)明：pam_wheel.so是專門用于su的模塊，用來(lái)阻止非指定組成員執(zhí)行su，默認(rèn)為GID 0，可使用選項(xiàng)group＝group_name來(lái)指定某個(gè)組的用戶可以su，或再加上選項(xiàng)deny來(lái)“取反”，即禁止某些組使用su。上文中的“use_uid”是系統(tǒng)中就定義好的，具體什么意思/etc/pam.d/su文件里有說(shuō)明。

4.限制 ssh 使用者名單

編輯/etc/pam.d/sshd 文件，（其中/etc/ssh_users為使用者名單的文件名）

auth required pam_listfile.so item=user sense=allow file=/etc/ssh_users onerr=fail

建立/etc/ssh_users文件，執(zhí)行以下語(yǔ)句：

echo user1 >> /etc/ssh_users

只有/etc/ssh_users文件中列出的用戶能用ssh登錄主機(jī)。

說(shuō)明：

item選項(xiàng)表示指定文件中數(shù)據(jù)的類型?？捎弥禐椋簎ser,group,tty,shell,ruser,rhost。一般用user或group，四個(gè)值不常用，有興趣自己測(cè)試。

sense選項(xiàng)表示對(duì)指定文件中的數(shù)據(jù)的訪問(wèn)權(quán)限?？捎弥禐閐eny和allow，不用介紹了吧。

file選項(xiàng)表示存放相關(guān)數(shù)據(jù)的文件位置。

onerr=fail表示本pam模塊的認(rèn)證出現(xiàn)任何錯(cuò)誤，則返回拒絕訪問(wèn)。注意：返回值不是“訪問(wèn)失敗”，而且返回“拒絕訪問(wèn)”不一定能阻止或允許用戶登錄，還要看第二個(gè)字段的參數(shù)。本例中使用了required，如果返回值為拒絕訪問(wèn)，則直接阻止用戶登錄。

該模塊常用于ssh、rlogin、ftp等認(rèn)證：

ssh：直接放入/etc/pam.d/sshd文件。

rlogin：需要放入/etc/pam.d/rlogin，/etc/pam.d/remote、/etc/pam.d/login。配置rlogin必須注意下面內(nèi)容?。ㄟ@是redhat官方回答，測(cè)試發(fā)現(xiàn)不需要修改login文件即可實(shí)現(xiàn)）

上文中已經(jīng)提到2個(gè)pam的實(shí)例了，下面解釋一下pam配置文件中第二個(gè)字段的參數(shù)：

sufficient    如果該模塊允許用戶訪問(wèn)，則跳過(guò)棧中的其余任何模塊，并返回認(rèn)證成功值給服務(wù)。

requisite    如果該模塊拒絕訪問(wèn)，則返回認(rèn)證失敗值給服務(wù)，并跳過(guò)棧中的其余模塊。

 required    該模塊必須允許訪問(wèn)，才能使整個(gè)認(rèn)證過(guò)程成功。

optional    如果沒(méi)有其他模塊起決定作用，則該模塊的結(jié)果將用于決定是否可以訪問(wèn)。

前面兩個(gè)關(guān)鍵詞很容易理解，它們直接允許或拒絕訪問(wèn)，并當(dāng)即終止認(rèn)證過(guò)程。該模塊必須有一個(gè)允許訪問(wèn)，且其他required的模塊都沒(méi)有拒絕，才能使整個(gè)認(rèn)證過(guò)程成功。最后兩個(gè)關(guān)鍵詞表示是否為認(rèn)證的基本和必須部分。如果棧中已執(zhí)行的模塊沒(méi)有拒絕或允許訪問(wèn)，則認(rèn)證成功與否由綜和所有所需模塊的結(jié)果來(lái)決定。如果至少其中一個(gè)模塊允許訪問(wèn)，且其他模塊都沒(méi)有拒絕，則認(rèn)證成功。若所需模塊沒(méi)有達(dá)成明確決定時(shí)，則使用可選模塊。

例如/etc/pam.d/rlogin文件的前幾行是這樣的話：

auth       required     pam_nologin.so  
auth       required     pam_securetty.so  
auth       required     pam_env.so  
auth       required     pam_listfile.so item=user sense=allow file=/etc/rlogin_users onerr=fail 
auth       sufficient   pam_rhosts_auth.so 

或

auth       required     pam_nologin.so  
auth       required     pam_securetty.so  
auth       required     pam_env.so  
auth       sufficient   pam_rhosts_auth.so  
auth       required     pam_listfile.so item=user sense=allow file=/etc/rlogin_users onerr=fail 

這會(huì)有很大區(qū)別，使用后者的話，如果需要服務(wù)器上有/etc/hosts.equiv文件，且該文件里包含客戶端的主機(jī)名，則最后一句將無(wú)法禁止該客戶端上的所有用戶登錄！即使那個(gè)用戶列在/etc/rlogin_users文件中，因?yàn)榍耙痪渲甘尽爸灰h(yuǎn)程主機(jī)在信任主機(jī)列表里，就不再繼續(xù)下面的認(rèn)證，直接放行！”

5.登錄終端設(shè)置

/etc/securetty文件指定了允許root登錄的tty設(shè)備，由/bin/login程序讀取，

其格式是一個(gè)被允許的名字列表，你可以編輯/etc/securetty且注釋掉如下的行。

# tty1

這時(shí)，root就不可在tty1終端登錄。以上就是Linux安全設(shè)定的介紹。

【編輯推薦】

1. 全面了解四種級(jí)別攻擊Linux服務(wù)器的方式
2. 六點(diǎn)Linux安全方法應(yīng)用
3. 為什么Linux操作系統(tǒng)和MacOS成長(zhǎng)在微軟的光環(huán)下？
4. 未來(lái)十年Linux操作系統(tǒng)會(huì)怎樣呢？
5. 輕松讓Linux成為路由器的方法