系统引导和登录安全加固
需求描述
引导安全控制
禁止非授权用户使用系统启动盘从光盘引导系统 禁止非授权用户通过单用户模式引导进入系统
防止普通用户获取grub密码、防止grub.conf文件被无意中修改或删除 终端登录控制
在服务器本地仅开放tty1、tty2控制台终端
root用户只能从tty1登录,其他普通用户只能从tty2登录 屏蔽掉Ctrl+Alt+Del热键重启功能
在使用shell终端时,超过5分钟无操作则自动注销
实现思路
设置系统引导及grub控制
1. 为BIOS设置密码,且取消光盘优先启动
使用 grub-md5-crypt 生成MD5加密的密码字串,并添加相应设置到grub.conf文件
附:
加密引导菜单的作用
全局部分(第一个“title”之前),修改启动参数时需要验证密码
系统引导参数部分(每个“title”部分之后),进入所选择的系统前需要验证密码 在grub.conf文件中设置密码的方式 password 明文密码串
password --md5 加密密码串
设置tty终端控制
1. 修改”/etc/inittab”控制服务器开放的tty终端
2. 修改”/etc/securetty”控制root用户允许登录的tty终端
屏蔽掉Ctrl+Alt+Del热键重启功能
1. 修改”/etc/inittab”文件,禁止Ctrl+Alt+Del热键重启功能
2. 使用 init q 是配置立即生效
设置Shell自动注销(TMOUT环境变量) 1. 修改”/etc/profile”文件,设置自动注销
锁定不希望更改的系统文件
1. 使用chattr命令,+i属性锁定grub.conf文件,防止文件被无意中修改或删除
验证实验结果
1. 开机按”del”(Vm虚拟机按F2)进入BIOS时,应提示输入密码 2. 无法再开机GRUB菜单界面中按e键进行编辑
3. 普通用户无法查看grub.conf文件内容,root用户可以查看,但是不能直接修改,删除 4. 在本地服务器的tty3~tty6终端上,用户无法输入用户名/密码登录,root用户只能从tty1
登录系统,其他用户只能从tty2登录
5. 用户登录终端后,无法通过Ctrl+Alt+Del热键重启系统 6. 用户登录终端后,若超时5分钟没用操作,则自动注销
欢迎访问我的博客,我需要您的帮助!http://jiayf.blog.51cto.com/