如何让主机合规分析报告评分达到90分？(2)

通常情况下,一般用户通过执行su -命令,输入正确的根用户密码,就能登录成为根用户.但是,为了更进一步加强安全性,有必要创建一个管理员组,只允许该组的用户来执行su -命令登录为根用户,而使得其他组的用户即使是执行了该指令、输入了正确的密码,也无法登录为根用户.这个组的名称通常为wheel.
按照上面的方法修改后,普通用户无法登录为根用户：

若希望该普通用户能够登录为根用户,需要将其加入到wheel组中：

????二、文件与目录权限

????2.1文件与目录缺省权限控制

首先要对操作的目标文件进行备份：

????2.2 配置用户最小授权

????2.3 设置关键文件的属性

使用命令查看messages文件是否只可追加不可修改：

a即append,设定该参数后,只能向文件中添加数据,而不能删除.
如果一个用户以root的权限登录或者某个进程以root的权限运行,会保证messages文件不会被篡改,保证系统的相对安全.

????三、日志安全

????3.1 记录安全事件日志

????3.2 日志文件安全

对权限>640的日志文件设定为640的权限.
检测方法：
使用以下命令查看日志文件权限

找到这些权限有问题的日志文件后,对其进行修改权限的操作：

????四、系统服务

????4.1 限制root用户SSH远程登录

检测方法：

修改方法：
编辑/etc/ssh/sshd_config修改以下两个选项

????4.2 登陆超时时间设置

检测方法：

修改方法：
如果/etc/profile中有下面的两行则按需要进行修改,没有这两行则写入这两行：

????4.3 清除潜在危险文件

要求系统中不能有这三个文件：.rhosts、.netrc、hosts.equiv.如果使用rlogin进行远程登录,就会需要这三个文件.通常情况下是没有这三个文件的,因而该远程登录方法很少使用了.、
检测方法：

（编辑：ASP站长网）