Linux server security chapter

账户和登陆安全

• 删除特殊的用户和用户组

users：adm/lp/sync/shutdown/halt/news/uucp/operator/games/gopher
group: adm/lp/news/uucp/games/dip/pppusers/popusers/slipusers

• 关闭不需要的服务
  必须的服务：

acpid haldaemon messagebus klogd network syslogd cron iptables apmd kudzu atd keytables xinetd sshd

• 关闭密码登陆

PasswordAuthentication no

• 使用su，sudo命令

vim /etc/sudoers
user01 ALL = /bin/more /etc/shadow
user02 ALL = NOPASSWD: /etc/init.d/nagios restart
super ALL = (ALL) NOPASSWD : ALL

• 删减系统登录欢迎信息

/etc/issue /etc/issue.net /etc/motd /etc/redhat-release

• 让history记录shell执行时间

vim /etc/bashrc or ~/.bashrc

    HISTFILESIZE=4000 #记录条数
    HISTSIZE=4000       #输出记录总数
    HISTTIMEFORMAT='%F %T'
    export HISTTIMEFORMAT

• 锁定系统重要文件

chattr lsattr
chattr [-RV] [-v version] [mode] file or dir
[mode] a：只能追加，常用于日志；c：是否压缩；i：设定文件不能被修改，删除，重命名，设定链接等，也不能写入；
lsattr [adlRvV] file or dir

• 服务器遭受攻击的处理过程
  1.切断网络，查看可疑用户，run w，锁定用户，passwd -l user，kill 登陆进程，runlast查看用户登录事件
  2.查看日志，/var/log/messages,/var/log/secure,.bash_history
  3.检查可疑进程ps，top，pidof sshd；进入内存目录，查看对应PID目录下的exe文件信息，run ls -al /proc/PID/exe