ubuntu14.04 系统加固（2）

说明：因工作需要，特此写本博文，方便以后查阅。如文中有问题之处，望指点，拍砖请轻拍，谢谢合作。

/[b]***************************************************************************************[/b]

*加固系统：ubuntu14.04

[b]****************************************************************************************[/b]/

一、删除UID为0的非root用户

加固步骤：

1、执行备份

root@xxx:/#

cp –p /etc/passwd /etc/passwd.bak

root@xxx:/#

cp –p /etc/shadow /etc/shadow.bak

root@xxx:/#

cp –p /etc/group /etc/group.bak

2、执行命令删除UID为0的用户

root@xxx:/#

userdel username

注：/etc/passwd文件中第三列为0的用户只能为root用户。

二、文件账号权限设置

条件：用root外的其它帐户登录，对重要文件和目录进行删除、修改等操作不能够成功即为符合。

加固步骤：

1、将文件权限设置为/etc/passwd权限为644，/etc/shadow权限为400，/etc/group权限为644。

2、执行命令

root@xxx:/#

chmod 644 /etc/passwd

root@xxx:/#

chmod 400 /etc/shadow

root@xxx:/#

chmod 644 /etc/group

三、删除和锁定无关账号

加固步骤：

1、执行备份

root@xxx:/#

cp -p /etc/passwd /etc/passwd.bak

root@xxx:/#

cp -p /etc/shadow /etc/shadow.bak

2、锁定无关帐户：

方法一：

root@xxx:/#

vim /etc/shadow

在需要锁定的用户名的密码字段前面加!，如

test:!$1$QD1ju03H$LbV4vdBbpw.MY0hZ2D/Im1:14805:0:99999:7:::

方法二：

root@xxx:/#

passwd -l test

3、将/etc/passwd文件中的shell域设置成/bin/false。

注：主要操作一些帐户不存在或者它们的密码字段为!!用户。

四、口令锁定策略

条件：帐户被锁定，不再提示让再次登录

加固策略：

1、执行备份：

root@xxx:/#

cp -p /etc/pam.d/common-auth /etc/pam.d/common-auth.bak

2、修改策略设置：

root@xxx:/#

vim /etc/pam.d/common-auth

增加auth required pam_tally2.so deny=6 onerr=fail no_magic_root unlock_time=120到第二行,保存退出