Linux(RHEL5)系统安全常规优化（5）

Linux系统安全优化之系统引导和登录安全优化开关机安全控制

1. 调整BIOS引导设置

将***优先引导设备设为当前系统所在硬盘，其他引导设置为Disabled.为BIOS设置管理员密码，安全级别调整为setup

2. 防止用户通过Ctrl+Alt_Del热键重启系统

#vi/etc/inittab 

#ca::ctrlaltdel：/sbin/shutdown-t3-rnow//注掉该行 

#init-q//使配置文件立即生效

Linux系统安全优化之GRUB引导菜单加密

在grub.conf文件中设置明文密码

#vi/boot/grub/grub.conf 

password123456//仅在需要变更grub引导参数时才需要提供密码 

tiltleRedEnterpriseLinuxServer(2.6.18-8.el5) 

root(hd0,0) 

password1234//进入系统时输入的密码

在grub.conf文件中设置md5加密的密码字符串

#vimima 

wang 

wang 

#grub-md5-crypt<mima》/boot/grub/grub.conf

Linux系统安全优化之终端登录控制

1. 即时禁止普通用户登录

# touch /etc/nologin //通过/etc/nologin文件即时禁止普通用户登录系统

2. 控制服务器开放的tty终端

# vi /etc/inittab

1. 控制允许root用户登录的tty终端

# vi /etc/securetty

1. 更改系统登录提示，隐藏内核版本信息

通过修改/etc/issue、/etc/issue.net文件(分别对应本地登录、网络登录)

#vi/etc/issue 

Welcometoserver 

#cp-f/etc/issue/etc/issue.net

2. 使用pam_access认证控制用户登录地点

Pam_access认证读取/etc/security/access.conf配置文件，该文件由权限、用户、来源，组成，用冒号进行分隔

权限 ：加号 + 或 减号 – ，分别表示允许、拒绝

用户 ： 用户名部分，多个用户名用空格分开，组使用@组名的形式表示。ALL表示所有用户

来源 ：表示用户从哪个终端或远程主机登录，多个来源地点用空格分开

例：禁止除了root以外的用户从tty1终端登录系统

#vi/etc/pam.d/login//在PAM配置文件login中添加认证支持 

accountrequiredpam_access.so 

#vi/etc/security/access.conf 

-:ALLEXCEPTroot:tty1

例：禁止root用户从192.168.1.0/24 、 172.16.0.0/8 网络中远程登录

#vi/etc/pam.d/sshd//在PAM配置文件sshd中添加认证支持 

accountrequiredpam_access.so 

#vi/etc/security/access.conf 

-:root:192.168.1.0/24172.16.0.0/8

Linux系统安全优化中引导和登录安全优化开关机安全控制的配置就向大家介绍完了，希望大家已经掌握。如果读者还想学习更多的有关Linux系统安全优化的内容可以参考之前与大家一起分享的配置方法。