12、使"/etc/services"文件免疫
使"/etc/services"文件免疫，防止未经许可的删除或添加服务：
[root@kapil　/]#　chattr　+i　/etc/services

13、不允许从不同的控制台进行root登陆
"/etc/securetty"文件允许你定义root用户可以从那个TTY设备登陆。你可以编辑"/etc/securetty"文件，再不需要登陆的TTY设备前添加"#"标志，来禁止从该TTY设备进行root登陆。

14、禁止任何人通过su命令改变为root用户
su(Substitute　User替代用户)命令允许你成为系统中其他已存在的用户。如果你不希望任何人通过su命令改变为root用户或对某些用户限制使用su命令，你可以在su配置文件（在"/etc/pam.d/"目录下）的开头添加下面两行：
编辑su文件(vi　/etc/pam.d/su)，在开头添加下面两行：
auth　sufficient　/lib/security/pam_rootok.so　debug　
auth　required　/lib/security/Pam_wheel.so　group=wheel　
这表明只有"wheel"组的成员可以使用su命令成为root用户。你可以把用户添加到"wheel"组，以使它可以使用su命令成为root用户。

15、Shell　logging
Bash　shell在"~/.bash_history"（"~/"表示用户目录）文件中保存了500条使用过的命令，这样可以使你输入使用过的长命令变得容易。每个在系统中拥有账号的用户在他的目录下都有一个".bash_history"文件。bash　shell应该保存少量的命令，并且在每次用户注销时都把这些历史命令删除。
第一步：
"/etc/profile"文件中的"HISTFILESIZE"和"HISTSIZE"行确定所有用户的".bash_history"文件中可以保存的旧命令条数。强烈建议把把"/etc/profile"文件中的"HISTFILESIZE"和"HISTSIZE"行的值设为一个较小的数，比如 30。编辑profile文件（vi　/etc/profile），把下面这行改为：
HISTFILESIZE=30　
HISTSIZE=30　
这表示每个用户的".bash_history"文件只可以保存30条旧命令。
第二步：
网管还应该在"/etc/skel/.bash_logout"　文件中添加下面这行"rm　-f　　$HOME/.bash_history"　。这样，当用户每次注销时，".bash_history"文件都会被删除。
编辑.bash_logout文件(vi　/etc/skel/.bash_logout)　，添加下面这行：
rm　-f　$HOME/.bash_history

上一页  [1] [2] [3] [4]  下一页