一、不用root用户登录,以普通用户通过sudo管理授权
普通用户涉及到超级权限的运用,管理员如果想让该普通用户通过su来切换到root获得超级权限,就必须把root权限密码告诉用户。但是如果普通用户有了root权限,可以通过root权限做任何事,这会对系统的安全造成一定的威胁
sudo是一种权限管理机制,管理员可以授权于一些普通用户去执行一些root执行的操作,而该普通用户而不需要知道root的密码,它依赖于/etc/sudoers这个文件,可以授权于某个普通用户在主机上能够以管理员的身份执行什么样的管理命令,而且是有限的。这个文件相当于就是一个授权表
实例:visudo(或vi /etc/sudoers)
语法
user MACHINE=COMMANDS
user想要分配的用户
MACHINE希望用户管理的机器
COMMANDS希望用户拥有哪些权限(权限以命令为单位)
root ALL=(ALL) ALL
括号里表示允许该用户以哪个用户的权限去做事
(1)
此时的Ian普通用户就相当于root了。
但普通用户Ian在执行root操作时,必须得在命令前面加sudo,不然还是不能执行的。执行root操作时,需要的密码也不再是root超级用户的密码,而是普通用户的密码。
(2)
[root@muban ~]# which useradd #which 查看命令所在路径 /usr/sbin/useradd
二、更改ssh服务的远程连接端口,禁止root用户远程登录。
linux远程连接默认端口port 22
配置文件
三、定时自动更新服务器时间,使其与互联网时间同步
四、配置yum更新源,从国内更新源下载安装软件包
五、关闭selinux及iptables(如果有外网ip开启)
六、调整文件描述符的数量,进程及文件的打开都会消耗文件描述符
七、定时自动清理邮件目录垃圾文件,防止inodes节点占满
八、精简并保留必要的开机自启动服务
九、linux内核参数优化/etc/sysctl.conf , 然后执行sysctl -p 生效。
十、更改字符集使其支持中文,但还是建议使用英文,防止出现乱码问题
十一、锁定关键系统文件,防止提权篡改
十二、清空/etc/issue /etc/issue.net ,去除系统及内核版本登陆前的屏幕显示
十三、清除多余的系统账号
十四、为grub菜单加密
