的人士提供参考。
一、帐户、口令安全设置1)删除或注释掉无用帐号;2)建议锁定除root外的其它不常用帐号#chuser account_locked=true user1#锁定user1用户3)修改默认密码策略(示例)#vi /etc/security/user
二.登录策略更改
登录策略主要在/etc/security/login.cfg中定义,可以通过以下三种方式调整1)#vi /etc/security/login.cfglogindelay=2 *失败登录后延迟2秒显示提示符logindisable=5 *5次失败登录后锁定端口logininterval=60 *在60秒内5次失败登录才锁定端口loginreenable=30*端口锁定30分钟后解锁logintimeout = 60 *60秒不活动将会退出当前用户2)#lssec -f /etc/security/login.cfg -s default *列出默认登录策略 #chsec -f /etc/security/login.cfg -s /dev/lft0 -a logindisable=5 *五次连续失败登录后锁定端口lft03)通过smit查看和更改登录策略(smit chsec)
三.禁止root帐户建立远程连接1)对root用户远程登录(telnet或rlogin)的限制可以在文件/etc/security/user中指定#vi /etc/security/userrlogin=false或者使用lsuser和chuser命令#lsuser -a rlogin root *查看root的rlogin属性(默认为true)#chuser rlogin=false root *禁止root远程登录2)禁止root帐户ftp到系统,编辑/etc/ftpusers,所有希望被禁止ftp登录的帐户都添加在该文件中。#vi /etc/ftpusersroot3)禁止root账户ssh到系统,编辑/etc/ssh/sshd_configProtocol 2PermitRootLogin no
补充:
应该特别强调的是对于root特权的控制:1、 应严格限制使用root特权的人数;2、 root口令应由系统管理员以不公开的周期更改; 3、不同的机器采用不同的root口令; 4、即使系统管理员也应以普通用户的身份登录,然后用su命令进入特权;5、 root所用的PATH环境变量与系统安全性关系重大。安全性日志是系统安全的重要保障,有经验的系统管理员经常使用其做安全性检查。Su命令执行的结果存放在/var/adm/sulog中;用户登录和退出登录的记录存放在/var/adm/wtmp和/etc/utmp中,可用who命令查看;非法和失败登录的记录存放在/etc/security/failedlogin中,同样用who命令查看,未知的登录名记为unknown。
四、账户锁定与解锁例如:密码多次被输错,锁定后的提示信息Password: 530-There have been too many unsuccessful login attempts; please see the system administrator.1、如果你可以登陆到ROOT账户,比较简单使用这个命令即可解锁#chsec -f /etc/security/lastlog -a unsuccessful_login_count=0 -s user1 通过重置未成功登陆的次数即可解锁
2、如果是通过设置来锁定的用户,可以这样解锁#smit user
3、命令解锁
#chuser account_locked=TRUE oracle 给用户加锁
#chuser accout_locked=FALSE oracle 给用户解锁
但是这种加锁和解锁方式是有别于因多次密码输错登录失败而被锁住的用户锁定
4、如果你当前的用户被锁,你还可以用一个别的没锁的账户登陆并切到ROOT进行解锁
5、如果是ROOT被锁,则比较麻烦需要用救援光盘进行密码重置或等账户自行解锁后用正确的密码再登进去。
五、密码设置
1、设置强密码良好的密码是抵御未授权进入系统的第一道有效防线,虚拟主机,它们是以下类型: 大小写字母的混合 字母、数字或标点符号的组合。此外,它们可以包含特殊字符,如< 空格> 未写在任何明显能让别人看到的地方 如果使用 /etc/security/passwd 文件,那么长度最少为 7 个字符最大 8个字符(象 LDAP 那样使用注册表实施的认证,可以使用超出此最大长度的密码) 不是在字典中可查到的真实单词 不是键盘上字母的排列模式,比如 qwerty 不是真实单词或已知排列模式的反向拼写 不包含任何与您自己、家庭或朋友有关的个人信息 不与从前一个密码的模式相同 可以较快输入,网站空间,这样边上的人就不能确定您的密码
2. 设置密码策略猜测密码是系统最常遇到的攻击方法之一。因此,控制和监视您的密码限制策略是不可缺少的。 设定良好的密码 #vi /etc/security/user 编辑密码策略,参看前面的参数进行设置 使用 /etc/passwd 文件,传统上/etc/passwd 文件是用来记录每个拥有系统访问权的注册用户,用户必须在每个系统中有一个帐户才能获得对该系统的访问权 隐藏用户名和密码 为了达到更高级别的安全性,请确保用户标识和密码在系统内是不可见的。 设置建议的密码选项 强制定期更改密码 扩展密码限制
3、密码位数的BUG
一个人行走,若是寂寞了,寻一座霓虹灯迷离闪烁,
