Linux安全配置步骤简述

Linux安全配置步骤简述(4) 　　如果你不用sendmail服务器，procmail.mailx,就删除这个帐号。
　　[root@deep]# userdel news
　　[root@deep]# userdel uucp
　　[root@deep]# userdel operator
　　[root@deep]# userdel games
　　如果你不用X windows 服务器，就删掉这个帐号。
　　[root@deep]# userdel gopher
　　[root@deep]# userdel ftp
　　如果你不允许匿名FTP，就删掉这个用户帐号。
　　===
　　 打入下面的命令删除组帐号
　　[root@deep]# groupdel adm
　　[root@deep]# groupdel lp
　　[root@deep]# groupdel mail
　　如不用Sendmail服务器，删除这个组帐号
　　[root@deep]# groupdel news
　　[root@deep]# groupdel uucp
　　[root@deep]# groupdel games
　　如你不用X Windows，删除这个组帐号
　　[root@deep]# groupdel dip
　　[root@deep]# groupdel pppusers
　　[root@deep]# groupdel popusers
　　如果你不用POP服务器，删除这个组帐号
　　[root@deep]# groupdel slipusers
　　====
　　用下面的命令加需要的用户帐号
　　[root@deep]# useradd username
　　用下面的命令改变用户口令
　　[root@deep]# passwd username
　　
　　用chattr命令给下面的文件加上不可更改属性。
　　[root@deep]# chattr +i /etc/passwd
　　[root@deep]# chattr +i /etc/shadow
　　[root@deep]# chattr +i /etc/group
　　[root@deep]# chattr +i /etc/gshadow
　　
　　14. 阻止任何人su作为root.
　　如果你不想任何人能够su作为root,你能编辑/etc/pam.d/su加下面的行：
　　
　　auth sufficient /lib/security/pam_rootok.so debug
　　auth required /lib/security/pam_wheel.so group=isd
　　
　　意味着仅仅isd组的用户可以su作为root.
　　然后，如果你希望用户admin能su作为root.就运行下面的命令。
　　[root@deep]# usermod -G10 admin

　　16. 资源限制
　　 对你的系统上所有的用户设置资源限制可以防止DoS类型攻击（denial of service attacks）
　　如最大进程数，内存数量等。例如，对所有用户的限制象下面这样：
　　编辑/etc/security/limits.con加：
　　* hard core 0
　　* hard rss 5000
　　* hard nproc 20
　　你也必须编辑/etc/pam.d/login文件加/检查这一行的存在。
　　session required /lib/security/pam_limits.so
　　
　　上面的命令禁止core files“core 0”，限制进程数为“nproc 50“，且限制内存使用
　　为5M“rss 5000”。
　　
　　17. The /etc/lilo.conf file
　　
　　a) Add: restricted
　　加这一行到每一个引导映像下面，就这表明如果你引导时用(linux single),则需要一个password.
　　
　　b) Add: password=some_password
　　当与restricted联合用，且正常引导时，需要用户输入密码，你也要确保lilo.conf