過去的一年微軟重磅出擊推出了windows 7，不過，而Linux的發展非常迅速，有趕超微軟的趨勢。這里介紹Linux的知識，讓你學好應用Linux系統。今天一講Linux安全設定，希望你記住Linux安全設定。

1.禁止Ctrl+Alt+Delete重新啟動機器命令

修改/etc/inittab文件，將"ca::ctrlaltdel:/sbin/shutdown -t3 -r now"一行注釋掉。

2.禁止在ssh下直接用root登錄

編輯/etc/ssh/sshd_config文件

把PermitRootLogin yes前面的“#”去掉，把“yes”改為“no”

3.限制su名單

編輯/etc/pam.d/su文件，加入：

auth required /lib/security/$ISA/pam_wheel.so use_uid

（不少Linux發行版中可能省略pam_wheel.so文件的路徑名，為節省篇幅，下文也可能省略路徑，但使用絕對路徑是不會錯的?。?/P>

執行下面語句將用戶user1加入wheel組：

#gpasswd -a user1 wheel

這將使wheel組中的用戶才可以執行su命令，root例外。

auth       sufficient   /lib/security/$ISA/pam_wheel.so trust use_uid

此行使wheel組的用戶在執行su時不用輸入密碼，很方便，但是很危險！！慎用！

說明：pam_wheel.so是專門用于su的模塊，用來阻止非指定組成員執行su，默認為GID 0，可使用選項group＝group_name來指定某個組的用戶可以su，或再加上選項deny來“取反”，即禁止某些組使用su。上文中的“use_uid”是系統中就定義好的，具體什么意思/etc/pam.d/su文件里有說明。

4.限制 ssh 使用者名單

編輯/etc/pam.d/sshd 文件，（其中/etc/ssh_users為使用者名單的文件名）

auth required pam_listfile.so item=user sense=allow file=/etc/ssh_users onerr=fail

建立/etc/ssh_users文件，執行以下語句：

echo user1 >> /etc/ssh_users

只有/etc/ssh_users文件中列出的用戶能用ssh登錄主機。

說明：

item選項表示指定文件中數據的類型?？捎弥禐椋簎ser,group,tty,shell,ruser,rhost。一般用user或group，四個值不常用，有興趣自己測試。

sense選項表示對指定文件中的數據的訪問權限?？捎弥禐閐eny和allow，不用介紹了吧。

file選項表示存放相關數據的文件位置。

onerr=fail表示本pam模塊的認證出現任何錯誤，則返回拒絕訪問。注意：返回值不是“訪問失敗”，而且返回“拒絕訪問”不一定能阻止或允許用戶登錄，還要看第二個字段的參數。本例中使用了required，如果返回值為拒絕訪問，則直接阻止用戶登錄。

該模塊常用于ssh、rlogin、ftp等認證：

ssh：直接放入/etc/pam.d/sshd文件。

rlogin：需要放入/etc/pam.d/rlogin，/etc/pam.d/remote、/etc/pam.d/login。配置rlogin必須注意下面內容！（這是redhat官方回答，測試發現不需要修改login文件即可實現）

上文中已經提到2個pam的實例了，下面解釋一下pam配置文件中第二個字段的參數：

sufficient    如果該模塊允許用戶訪問，則跳過棧中的其余任何模塊，并返回認證成功值給服務。

requisite    如果該模塊拒絕訪問，則返回認證失敗值給服務，并跳過棧中的其余模塊。

 required    該模塊必須允許訪問，才能使整個認證過程成功。

optional    如果沒有其他模塊起決定作用，則該模塊的結果將用于決定是否可以訪問。

前面兩個關鍵詞很容易理解，它們直接允許或拒絕訪問，并當即終止認證過程。該模塊必須有一個允許訪問，且其他required的模塊都沒有拒絕，才能使整個認證過程成功。最后兩個關鍵詞表示是否為認證的基本和必須部分。如果棧中已執行的模塊沒有拒絕或允許訪問，則認證成功與否由綜和所有所需模塊的結果來決定。如果至少其中一個模塊允許訪問，且其他模塊都沒有拒絕，則認證成功。若所需模塊沒有達成明確決定時，則使用可選模塊。

例如/etc/pam.d/rlogin文件的前幾行是這樣的話：

auth       required     pam_nologin.so  
auth       required     pam_securetty.so  
auth       required     pam_env.so  
auth       required     pam_listfile.so item=user sense=allow file=/etc/rlogin_users onerr=fail 
auth       sufficient   pam_rhosts_auth.so 

或

auth       required     pam_nologin.so  
auth       required     pam_securetty.so  
auth       required     pam_env.so  
auth       sufficient   pam_rhosts_auth.so  
auth       required     pam_listfile.so item=user sense=allow file=/etc/rlogin_users onerr=fail 

這會有很大區別，使用后者的話，如果需要服務器上有/etc/hosts.equiv文件，且該文件里包含客戶端的主機名，則最后一句將無法禁止該客戶端上的所有用戶登錄！即使那個用戶列在/etc/rlogin_users文件中，因為前一句指示“只要遠程主機在信任主機列表里，就不再繼續下面的認證，直接放行！”

5.登錄終端設置

/etc/securetty文件指定了允許root登錄的tty設備，由/bin/login程序讀取，

其格式是一個被允許的名字列表，你可以編輯/etc/securetty且注釋掉如下的行。

# tty1

這時，root就不可在tty1終端登錄。以上就是Linux安全設定的介紹。

【編輯推薦】

1. 全面了解四種級別攻擊Linux服務器的方式
2. 六點Linux安全方法應用
3. 為什么Linux操作系統和MacOS成長在微軟的光環下？
4. 未來十年Linux操作系統會怎樣呢？
5. 輕松讓Linux成為路由器的方法