UNIX 操作系统安全检查列表(4)

　　2.2.4　UNIX系统帐号安全事项

　　UNIX系统帐号安全注意事项：

　　●禁用和删除帐号

　　■禁用帐号最快的方式是在/etc/passwd或影子口令文件中用户加密口令的开始加一个星号（*）。该用户将不能再次登录。

　　■删除帐号

　　■userdel jrandom

　　删除一个帐号时要完整。

　　杀死任何属于该用户的进程或打印任务。

　　检查用户的起始目录并为任何需要保存的东西制作一个备份。

　　删除用户的起始目录及其内容。

　　删除用户的邮件文件（/var/spool /mail）。

　　把用户从邮件别名文件中删除（/usr/lib/aliases）。

　　如果事先知道用户帐号将在哪天终止，则考虑在/etc/shadow中设置口令和帐号终止域。

　　●Root帐号安全性

　　■确保root只允许从控制台登陆

　　■限制知道root口令的人数

　　■使用强壮的密码

　　■三个月或者当有人离开公司是就更改一次密码

　　■使用普通用户登陆,用su取得root权限, 而不是以root身份登录

　　■设置 umask 为077 ,在需要时再改回022

　　■请使用全路径执行命令

　　■不要允许有非root用户可写的目录存在root的路径里

　　■确保root没有~/.rhosts文件

　　■确保root的cron job文件里没有执行属于其它用户或人人可写的文件

　　■修改/etc/securetty，去除终端ttyp0-ttyp9，使root只能从console或者使用ssh登陆。

　　■禁止root用户远程登录

　　linux下: -/etc/pam.d/login -auth　 required pam_securetty.so

　　其它多数系统: -/etc/default/login -CONSOLE=/dev/console

　　■自动帐号封锁-能够声明尝试登录失败的最大次数；一旦到达这个次数就封锁该帐号

　　■日期和时间限制-能够声明在一周或一天的什么时候可以使用一个用户的帐号；这是为了防御深更半夜的黑客

　　■自动登录退出-可以使长时间无反应的用户会话自动终止；这是有风险的，因为可能因一个合法的原因使一个会话显得不活跃

　　●密码策略

　　■密码长度的强制定义 -修改 /etc/login.defs -PASS_MIN_LEN 5

　　■为 PASS_MIN_LEN 8

　　■设置root登陆的timeout -/etc/profile: export TMOUT=7200

　　■用chage命令管理口令周期

　　chage -l username

　　[-m 最短周期] [-M 最长周期] [-I 口令到期到被锁定的天数]

　　[-E到期日期] [-W 口令到期之前开始警告的天数] username

　　●受限制的登录shell：

　　■编辑profile文件（vi /etc/profile），把这些行改成：

　　■HISTSIZE=20

　　●策略传播

　　●进行口令检查

　　●产生随机口令

　　●提前进行口令检查

　　●口令更换

　　3　UNIX文件系统安全