Linux服务器安全加固：关键步骤与配置

"这篇文档是关于Linux系统的安全加固方法，主要涵盖了用户管理、密码策略、登录定义、root权限控制和PAM配置等多个方面，旨在提高服务器的安全性。" 在Linux系统中，确保服务器的安全至关重要。以下是一些关键的安全加固步骤： 1. **用户和组管理**：检查`/etc/passwd`和`/etc/shadow`文件，确保只有必要的用户存在，例如bin, sysadm, uucp, lp, phpdb, www, daemon等。备份这两个文件以防误操作，然后可以使用`passwd -l <username>`锁定不需要的用户账户，`passwd -u <username>`解锁账户。同时，应避免root用户的直接登录，可以通过修改`/etc/ssh/sshd_config`文件中的`PermitRootLogin`选项来实现。 1. **密码策略**：查看`/etc/login.defs`文件，调整密码策略。例如，设置`PASS_MAX_DAYS`为90天，限制密码最长使用时间；`PASS_MIN_DAYS`为0，允许立即更改密码；`PASS_WARN_AGE`为7，提前7天提醒用户即将到期；`PASS_MIN_LEN`为9，设定最小密码长度为9个字符。这些设置有助于增强密码安全性。 1. **root权限控制**：检查`/etc/passwd`，确保没有空密码用户，避免root用户ID（UID）为0的用户，以及防止UID小于6000的普通用户。同时，将不常用或不必要的服务账户移出wheel组，以限制对root权限的访问。 1. **PAM配置**：在`/etc/pam.d/su`文件中，启用`pam_wheel.so`模块，限制只有wheel组的成员才能通过su命令切换到root。通过`usermod -G wheel test`将用户添加到wheel组，增强su命令的控制。 1. **shadow文件安全**：使用`awk`命令检查`/etc/shadow`文件中是否有过期的密码，确保所有账户都有有效的密码策略。 此外，还需要关注系统服务的运行状态和启动级别，以降低攻击面： 2. **系统服务管理**：通过`who -C`检查当前运行级，使用`runlevel`查看历史运行级。利用`chkconfig --list`列出所有服务的状态，根据需求在特定运行级(`--level <runlevel>`)下启用或关闭服务，如`chkconfig <service> on`或`chkconfig <service> off`。 通过以上步骤，可以有效地强化Linux服务器的安全性，减少潜在的安全风险。但是，安全加固是一个持续的过程，需要定期评估和更新策略以应对新的威胁。同时，建议安装和配置防火墙、监控系统日志，并定期进行安全审计，以确保系统的全面安全。