如何做好Linux系统安全加固之账号安全？11个安全小技巧分享(2)

如果你不想任何人能够用su作为root，可以通过以下限制：

编辑/etc/pam.d/su文件，增加如下两行： 
auth sufficient pam_rootok.so debug 
auth required pam_wheel.so group=admin  

只有admin组的用户才能su

8. 设置用户登陆的时间段

有时为了系统登陆的安全，我们需要限制用户只能在特定的时间段才允许登陆主机，可以通过以下设置。

#vi /etc/pam.d/sshd 
添加如下内容： 
account required pam_time.so 
# vi /etc/security/time.conf  
添加如下内容： 
sshd;*;admin;!Th2100-2300  

time.conf参数说明：

• sshd：表示仅对ssh程序限制
• *：表示任何终端，也可以指定终端如tty1,tty2等
• admin：表示仅对admin用户限制
• !Tu2200-2230 ：允许登录时间是周四2100-2300之外

9. 特别帐号的处理

如果不启动用sendmail,删除如下用户

[root@localhost]# userdel adm 
[root@localhost]# userdel lp 
[root@localhost]# userdel sync 
[root@localhost]# userdel shutdown 
[root@localhost]# userdel halt 
[root@localhost]# userdel mail 

如果不用X windows服务器.可有删除

[root@localhost]# userdel news 
[root@localhost]# userdel uucp 
[root@localhost]# userdel operator 
[root@localhost]# userdel games 

如果不允许匿名FTP帐号登陆,可删除

[root@localhost]# userdel gopher 
[root@localhost]# userdel ftp 

10.设置注销用户的时间及历史命令数

[root@tp ~]# vi /etc/profile 
... 
HOSTNAME=`/bin/hostname` 
HISTSIZE=1000 //这里1000代表用户操作命令的历史记录，应尽量小一些，设置成0也可以。 
tmout=600 //表示如果系统用户在600秒(10分钟)内不做任何操作,将自动注销这个用户. 

11. 防暴力破解

针对用户的防暴力破解，通常采用以下方法

• hostDenyHosts ：此软件的具体使用方法，可以参考官方文档。
• 编写脚本检查/var/log/secure访问日志文件：通过统计日志文件中的登陆失败的ip，并将达到阈值的ip添加到/etc/hosts.deny来拒绝某个ip的再次访问。

【编辑推荐】

1. Linux应急故事之四两拨千斤：黑客一个小小玩法，如何看瞎双眼
2. 新型 Linux 病毒，脚本超 1000 行，功能复杂
3. Linux systemd受内存损坏漏洞影响，尚无补丁
4. 适用于Windows，Linux和OS X的2018年优秀黑客工具
5. 十大有用的Kali Linux黑客工具

（编辑：ASP站长网）