Linux系統安全優化之系統引導和登錄安全優化開關機安全控制

1. 調整BIOS引導設置

將***優先引導設備設為當前系統所在硬盤，其他引導設置為Disabled.為BIOS設置管理員密碼，安全級別調整為setup

2. 防止用戶通過Ctrl+Alt_Del熱鍵重啟系統

# vi /etc/inittab  
 
# ca : :ctrlaltdel ：/sbin/shutdown -t3 -r now //注掉該行  
 
# init -q //使配置文件立即生效 

Linux系統安全優化之GRUB引導菜單加密

在grub.conf文件中設置明文密碼

# vi /boot/grub/grub.conf  
 
password 123456 //僅在需要變更grub引導參數時才需要提供密碼  
 
tiltle Red Enterprise Linux Server (2.6.18-8.el5)  
 
root ( hd0,0 )  
 
password 1234 //進入系統時輸入的密碼 

在grub.conf文件中設置md5加密的密碼字符串

# vi mima  
 
wang  
 
wang  
 
# grub-md5-crypt < mima 》 /boot/grub/grub.conf 

Linux系統安全優化之終端登錄控制

1. 即時禁止普通用戶登錄

# touch /etc/nologin //通過/etc/nologin文件即時禁止普通用戶登錄系統

2. 控制服務器開放的tty終端

# vi /etc/inittab

1. 控制允許root用戶登錄的tty終端

# vi /etc/securetty

1. 更改系統登錄提示，隱藏內核版本信息

通過修改/etc/issue、/etc/issue.net文件(分別對應本地登錄、網絡登錄)

# vi /etc/issue  
 
Welcome to server  
 
# cp -f /etc/issue /etc/issue.net 

2. 使用pam_access認證控制用戶登錄地點

Pam_access認證讀取/etc/security/access.conf配置文件，該文件由權限、用戶、來源，組成，用冒號進行分隔

權限 ：加號 + 或 減號 - ，分別表示允許、拒絕

用戶 ： 用戶名部分，多個用戶名用空格分開，組使用@組名的形式表示。ALL表示所有用戶

來源 ：表示用戶從哪個終端或遠程主機登錄，多個來源地點用空格分開

例：禁止除了root以外的用戶從tty1終端登錄系統

# vi /etc/pam.d/login //在PAM配置文件login中添加認證支持  
 
account required pam_access.so  
 
# vi /etc/security/access.conf  
 
- : ALL EXCEPT root : tty1 

例：禁止root用戶從192.168.1.0/24 、 172.16.0.0/8 網絡中遠程登錄

# vi /etc/pam.d/sshd //在PAM配置文件sshd中添加認證支持  
 
account required pam_access.so  
 
# vi /etc/security/access.conf  
 
- : root : 192.168.1.0/24 172.16.0.0/8 

Linux系統安全優化中引導和登錄安全優化開關機安全控制的配置就向大家介紹完了，希望大家已經掌握。如果讀者還想學習更多的有關Linux系統安全優化的內容可以參考之前與大家一起分享的配置方法。

【編輯推薦】

1. Linux(RHEL5)系統安全常規優化（1）
2. Linux(RHEL5)系統安全常規優化（2）
3. Linux(RHEL5)系統安全常規優化（3）
4. Linux(RHEL5)系統安全常規優化（4）