如何讓Linux系統(tǒng)更加安全 Linux安全技巧(3)

　　11、關(guān)閉IPv6

　　如果不用IPv6協(xié)議，那就應(yīng)該關(guān)閉掉它，因?yàn)榇蟛糠值膽?yīng)用和策略都不會(huì)用到IPv6，而且當(dāng)前它不是服務(wù)器必需的?？梢栽诰W(wǎng)絡(luò)配置文件中加入如下幾行來(lái)關(guān)掉它。

　　# vi /etc/sysconfig/networkNETWORKING_IPV6=no

　　IPV6INIT=no

　　12、限制用戶使用舊密碼

　　如果你不希望用戶繼續(xù)使用老密碼，這一條很有用。老的密碼文件位于 /etc/security/opasswd。你可以使用 PAM 模塊實(shí)現(xiàn)。

　　RHEL / CentOS / Fedora 中打開‘/etc/pam.d/system-auth‘ 文件。

　　# vi /etc/pam.d/system-authUbuntu/Debian/Linux Mint 中打開 ‘/etc/pam.d/common-password‘ 文件。

　　# vi /etc/pam.d/common-password在‘auth‘ 塊中添加下面一行。

　　auth sufficient pam_unix.so likeauth nullok在 ‘password‘ 塊添加下面一行，禁止用戶重新使用其過(guò)去最后用過(guò)的 5個(gè)密碼。

　　password sufficient pam_unix.so nullok use_authtok md5 shadow remember=5服務(wù)器只記錄最后的 5 個(gè)密碼。如果你試圖使用曾用的最后 5個(gè)老密碼中的任意一個(gè)，你將看到如下的錯(cuò)誤提示。

　　Password has been already used. Choose another.

　　13、如何檢查用戶密碼過(guò)期

　　在 Linux 中，用戶的密碼以加密的形式保存在‘/etc/shadow‘ 文件中。要檢查用戶的密碼是否過(guò)期，你需要使用‘chage‘ 命令。它將顯示密碼的最后修改日期及密碼期限的細(xì)節(jié)信息。這些細(xì)節(jié)就是系統(tǒng)決定用戶是否必須修改其密碼的依據(jù)。

　　要查看任一存在用戶的老化信息，如過(guò)期日和時(shí)長(zhǎng)，使用如下命令。

　　#chage -l username要修改任一用戶的密碼老化，使用如下命令。

　　#chage -M 60 username

　　#chage -M 60 -m 7 -W 7 userName參數(shù)

　　-M 設(shè)置天數(shù)最大數(shù)字

　　-m 設(shè)定天數(shù)最小數(shù)字

　　-W 設(shè)定想要的天數(shù)

　　14、手動(dòng)鎖定或解鎖用戶賬號(hào)

　　鎖定和解鎖功能是非常有用的，你可以鎖定一個(gè)賬號(hào)一周或一個(gè)月，而不是將這個(gè)賬號(hào)從系統(tǒng)中剔除?？梢杂孟旅孢@個(gè)命令鎖定一個(gè)特定用戶。

　　# passwd -l accountName提示：這個(gè)被鎖定的用戶僅對(duì)root用戶仍然可見。這個(gè)鎖定是通過(guò)將加密過(guò)的密碼替換成(!)來(lái)實(shí)現(xiàn)的。如果有個(gè)想用這個(gè)賬號(hào)來(lái)進(jìn)入系統(tǒng)，他會(huì)得到類似下面這個(gè)錯(cuò)誤的提示。

　　# su - accountName

　　This account is currently not available.解鎖一個(gè)被鎖定的賬號(hào)時(shí)，用下面這個(gè)命令。這命令會(huì)將被替換成(!)的密碼改回來(lái)。

　　# passwd -u accountName

       15、增強(qiáng)密碼

　　有相當(dāng)數(shù)量的用戶使用很弱智的密碼，他們的密碼都可以通過(guò)字典攻擊或者暴力攻擊攻破。‘pam_cracklib‘模塊存于在PAM 中，它可以強(qiáng)制用戶設(shè)置復(fù)雜的密碼。通過(guò)編輯器打開下面的文件。

　　# vi /etc/pam.d/system-auth在文件中增加一行，使用認(rèn)證參數(shù)(lcredit, ucredit, dcredit 或者 ocredit 對(duì)應(yīng)小寫字母、大寫字母，數(shù)字和其他字符)

　　/lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-2 dcredit=-2 ocredit=-1 ?