在CentOS系統中進行文件管理并確保安全操作���,可以遵循以下步驟和最佳實踐:
禁用不必要的超級用戶
- 檢測方法:使用
cat /etc/passwd查看口令文件��,檢查是否有多個用戶擁有root權限��。
- 備份方法:使用
cp -p /etc/passwd /etc/passwd_bak備份 /etc/passwd文件��。
- 加固方法:使用
passwd -l <用戶名>鎖定不必要的超級賬戶����,使用 passwd -u <用戶名>解鎖需要恢復的超級賬戶�,或者將用戶shell改為 /sbin/nologin�����。
刪除不必要的賬號
- 刪除所有默認的���、不必要的賬號��,如
adm, lp, sync, shutdown, halt, mail, operator, games, ftp等用戶和組��。
- 使用
userdel username和 groupdel groupname命令刪除這些賬號����。
強化用戶口令
- 設置復雜的口令����,包含大寫字母�����、小寫字母���、數字和特殊字符�����,并且長度大于10位�����。
- 修改
/etc/login.defs文件中的 PASS_MIN_LEN參數為10���。
- 檢查并強化空口令賬戶���,使用
awk -F ":" '$2 =="" {print $1}' /etc/shadow檢查空口令賬戶�����。
保護口令文件
- 使用
chattr +i命令給 /etc/passwd, /etc/shadow, /etc/group, 和 /etc/gshadow文件加上不可更改屬性�����,防止未授權訪問��。
設置root賬戶自動注銷時限
- 修改
/etc/profile文件中的 TMOUT參數����,設置root賬戶的自動注銷時限�,例如 TMOUT=300�。
限制su命令
- 編輯
/etc/pam.d/su文件���,限制只有特定組的用戶才能使用 su命令切換為root�。
限制普通用戶的敏感操作
- 刪除或修改
/etc/security/console.apps下的 halt, reboot, poweroff, shutdown等程序的訪問控制文件��,禁止普通用戶執行這些命令�����。
文件系統加密
- 使用LUKS或eCryptfs等加密工具對文件系統進行加密��,保護數據不被未授權訪問����。
定期備份
- 使用
tar, rsync, duplicity等工具定期備份重要數據����,確保在數據丟失時可以恢復��。
通過上述措施�����,可以顯著提高CentOS系統的安全性���,保護文件和數據不受未授權訪問和潛在的安全威脅�����。
