لأن لينكس هو نظام تشغيل حر، وهو نظام تشغيل مفتوح المصدر، والمزيد والمزيد من المستخدمين موضع ترحيب. للأمن على الانترنت إدارة الأعمال والمستخدمين هي الأكثر تشعر بالقلق إزاء هو أمن النظام، وتشغيل نظام تؤثر بشكل مباشر على سلامة العمليات. إعداد الأمان النظام هو مشكلة متعددة الأبعاد، وسلسلة صغيرة التالية من الأبعاد الأمنية الاعتبار لينكس وتبادل بعض الأمن تصلب نصائح لينكس المشتركة.

1. سياسات كلمة مجموعة

# /etc/login.defs القط | البقرى -v "#" | PASS البقرى PASS_MAX_DAYS 180 PASS_MIN_DAYS 0 PASS_MIN_LEN 5 PASS_WARN_AGE 7

المعلمات:

• تعيين كلمة المرور تاريخ انتهاء الصلاحية: PASSMAXDAYS
• PASSMINDAYS: الحد الأدنى كلمة المرور تاريخ التغيير
• PASSMINLEN: طول أدنى كلمة المرور
• PASSWARNAGE: عدد أيام من تحذير قبل انتهاء صلاحية كلمة المرور

2. تقييد المستخدمين لتسجيل الدخول عن بعد في

/etc/pam.d/sshd همة # PAM-1.0 مطلوب المصادقة pam_tally2.so ينكر = 3 = 300 unlock_time even_deny_root root_unlock_time = 10

الاحتياطات: يجب إضافة إضافة المحتوى بعد الجبهة، وهذا هو "# PAM-1.0"، إذا كتب على ظهره، وعلى الرغم من أن المستخدم مقفل، ولكن طالما أن اسم المستخدم وكلمة المرور الصحيحة، لا يزال بإمكانك الذهاب في الهبوط الناجح.

المعلمات:

• evendenyroot: جذر حد المستخدم.
• نفي: مجموعات أكبر عدد ممكن من الأخطاء الشائعة الاستعمال والجذر تسجيل دخول المستخدم على التوالي، يتجاوز الحد الأقصى لعدد مرات، يتم تأمين المستخدم.
• unlock_time: المستخدمين العاديين لقفل بعد فتح بعد كم من الوقت بالثواني.
• rootunlocktime: المستخدم الجذر إلى قفل، وفتح بعد كم من الوقت بالثواني.

3. تقييد دخول المستخدم من الكتابة البعيدة

همة /etc/pam.d/login # PAM-1.0 المصادقة المطلوبة pam_tally2.so ينكر = 3 = 300 lock_time even_deny_root root_unlock_time = 10

الاحتياطات: يجب إضافة إضافة المحتوى بعد الجبهة، وهذا هو "# PAM-1.0"، إذا كتب على ظهره، وعلى الرغم من أن المستخدم مقفل، ولكن طالما أن اسم المستخدم وكلمة المرور الصحيحة، لا يزال بإمكانك الذهاب في الهبوط الناجح.

المعلمات:

• evendenyroot: جذر حد المستخدم.
• نفي: مجموعات أكبر عدد ممكن من الأخطاء الشائعة الاستعمال والجذر تسجيل دخول المستخدم على التوالي، يتجاوز الحد الأقصى لعدد مرات، يتم تأمين المستخدم.
• unlock_time: المستخدمين العاديين لقفل بعد فتح بعد كم من الوقت بالثواني.
• rootunlocktime: المستخدم الجذر إلى قفل، وفتح بعد كم من الوقت بالثواني.

4. عرض فشل تسجيل دخول المستخدم

# Pam_tally2 --user الجذر تسجيل الدخول فشل آخر فشل من الجذر 0

5. لفتح مستخدم معين

# Pam_tally2 -r -u الجذر تسجيل الدخول فشل آخر فشل من الجذر 0

6. تعيين كلمة المرور التعقيد

تحرير /etc/pam.d/system-auth البحث pam_cracklib، بعد إضافة بعض المعلمات على النحو التالي: # القط /etc/pam.d/system-auth | cracklib البقرى كلمة المرور المطلوبة pam_cracklib.so إعادة المحاولة = 5 = 3 difok minlen = 10 = -1 ucredit lcredit = -1 dcredit = -1 ocredit = -1

المعلمات:

إعادة المحاولة = 5: 5 تمثل تمكين إدخال

difok = 3: كلمة السر الجديدة وكلمة المرور القديمة تختلف عن رقم 3

minlen = 10: طول كلمة السر لا يقل عن 10

ucredit = -1: على الأقل حرف واحد

صغيرة واحدة على الأقل: lcredit = -1

رقم واحد على الأقل: dcredit = -1

ocredit = -1: واحد على الأقل حرف آخر

7. القيود أذونات سو

إذا كنت لا تريد أي شخص يمكن استخدام سو كجذر، من خلال القيود التالية:

تحرير ملفات /Etc/pam.d/su، إضافة السطرين التاليين: مصادقة كافية التصحيح pam_rootok.so المصادقة المطلوبة مجموعة pam_wheel.so = المشرف

فقط مجموعة المستخدمين المشرف يمكن سو

8. ضبط الوقت تسجيل دخول المستخدم

في بعض الأحيان من أجل نظام الهبوط آمنة، ونحن بحاجة إلى تقييد يسمح للمستخدمين للدخول في فترة معينة من الزمن المضيف، من خلال الإعدادات التالية.

/etc/pam.d/sshd #vi إضافة ما يلي: حساب pam_time.so المطلوبة # السادس /etc/security/time.conf إضافة ما يلي: سشد؛ *؛ المشرف ؛! Th2100-2300

المعلمات time.conf:

• يمثل برنامج سه الحد الوحيد: سشد
• *: يشير أي محطة، يمكن تحديد المحطة كما tty1، tty2 الخ
• مشرف: المستخدمين المشرف تمثل القيود الوحيدة
• ! Tu2200-2230: السماح وقت تسجيل الدخول بخلاف الخميس 2100-2300

9. حساب عملية خاصة

إذا كنت لا تبدأ مع تنسخ، حذف المستخدم التالية

# Userdel ADM # Userdel ليرة لبنانية # Userdel متزامنة # Userdel الاغلاق # Userdel وقف # الإلكتروني Userdel

إذا لم يكن لديك X يندوز سيرفر قد حذف

# Userdel الأخبار # Userdel UUCP # المشغل Userdel # ألعاب Userdel

إذا كنت لا تسمح المجهول FTP تسجيل الدخول حساب، حذف

# Userdel غوفر # Userdel بروتوكول نقل الملفات

10. تعيين سجل قبالة الوقت المستخدم وعدد من التاريخ القيادة

# السادس / الخ / صورة ... HOSTNAME = `/ بن / hostname` HISTSIZE = 1000 // 1000 التاريخ هنا نيابة عن قيادة عمليات المستخدم، يجب أن تكون صغيرة بقدر الإمكان، ويمكن أيضا أن يتم تعيين إلى 0. tmout = 600 // إذا أشار المستخدم 600 ثانية (10 دقيقة) من دون أي عملية، المستخدم سيتم تسجيل تلقائيا.

القوة الغاشمة 11. المضادة

لمستخدمي الكراك مكافحة العنف، وعادة ما نفذ

(1) hostDenyHosts: محددة استخدام هذا البرنامج، يمكنك الرجوع إلى الوثائق الرسمية.

(2) كتابة السيناريو للتحقق فار / سجل / ملف آمن سجل وصول /: إن بإحصائيات ملف فشل تسجيل الدخول الملكية الفكرية، والملكية الفكرية إضافة والوصول إلى العتبة مرة أخرى ل/etc/hosts.deny لمنع الوصول إلى الملكية الفكرية و.