Linux服务器通用安全加固指南（一）

基本系统安全

保护引导过程(Grub引导为例)

在 `/etc/inittab` 中添加 `sp:S:respawn:/sbin/sulogin`,以确保当切换单用户模式时，运行级的配置要求输入root密码

cp /etc/inittab /etc/inittab.bak
vim /etc/inittab

id:3:initdefault
sp:S:respawn:/sbin/sulogin

防止用户使用`Ctrl+Alt+Del`进行重新引导：

在RHEL6.X和Centos 6.x下，该热键行为由`/etc/init/control-alt-delete.conf`控制。

注释到原来的改成：`exec /usr/bin/logger -p authpriv.notice -t init "Ctrl-Alt-Del was pressed and ignored" `

关闭不使用的服务

查看开启的服务

chkconfig --list | grep '3:on'

关闭邮件服务，使用公司邮件服务器：

service postfix stop
chkconfig postfix --level 2345 off

根据实际情况关闭服务

增强特殊文件的权限

chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow
chattr +i /etc/services # 给系统服务端口列表文件加锁，防止未经许可的删除或者添加服务
chattr +i /etc/pam.d/su
chattr +i /etc/ssh/sshd_config

给以上文件添加不可更改属性，防止未授权用户获得权限

执行以上chattr后，就无法添加或者删除用户。使用 chattr -i 取消只读权限

强制实行配额和限制

`Linux PAM（插入式认证模块，Pluggable Authentication Modules）`，可以强制实行限制，在`/etc/security/limits.conf`文件中进行配置。

这些限制使用于单个对话。可以使用maxlogins控制总额限制。limits.conf中的结构

username|@groupname type resource limit

@groupname的@必须添加。类型必须是soft或者hard。软限制（soft-limit）可以被超出，通常只是警戒线，硬限制（hard-limit）则是不能超出