2 Linux 安全和服务保护方法 #

物理安全应予以最大限度的关注。Linux 生产服务器应安放于加锁的数据中心之内，只有通过安全检查的人员才能访问。您也可以考虑使用引导加载程序口令，具体视环境和情况而定。

此外，还要考虑如下问题：

特定系统上所需的物理安全成本视情况而定，并且根据可用资金其成本也可能会有很大差别。

提示：安全引导

本节仅介绍确保引导进程安全的基本方法。要了解使用 UEFI 和安全引导功能的更高级引导保护的相关信息，请参见第 13.1 节 “安全引导”。

BIOS（基本输入/输出系统）或其继承者 UEFI（统一可扩展固件接口）是 PC 类系统上最低级别的软件/固件。运行 Linux 的其他硬件类型（POWER、IBM Z）也配有执行与 PC BIOS 类似功能的低级别固件。当本文档提及 BIOS 时，通常指的是 BIOS 和/或 UEFI。BIOS 指示系统配置，使系统处于一个定义良好的状态，并提供访问低级别硬件的例程。BIOS 执行已配置的 Linux 引导加载程序（例如 GRUB 2）来引导主机。

大部分 BIOS 实施都可配置为阻止未经授权的用户操作系统及引导设置。通常通过设置 BIOS 管理员或引导口令来完成。只有更改系统配置时才需要输入管理员口令，但在每次正常引导时都需要引导口令。对于大多数用例，设置管理员口令并将引导限制为内置硬盘便已足够。这样，攻击者便无法只引导 Linux live CD 或 USB 闪存盘。虽然这并不会提供高级别的安全（可以重设置、去除或修改 BIOS – 假设用例访问权限），但它可以作为另一种保护措施。

许多 BIOS 固件具有各种其他安全相关设置。请与系统供应商联系，可查阅系统文档或在系统引导时检查 BIOS，来了解更多信息。

重要：在设置了 BIOS 引导口令的情况下引导

如果系统设置了引导口令，主机将不会在无人照管的情况下引导（例如当系统重引导或发生电源故障）。这是一种权衡。

重要：丢失 BIOS 管理员口令

首次设置系统时，通常不会要求提供 BIOS 管理员口令。请不要忘记该口令，否则您将需要通过硬件操作清除 BIOS 内存以再次获得访问权限。

SUSE Linux Enterprise Server 中默认使用的 Linux 引导加载程序 GRUB 2 可设置引导口令。它还提供了口令功能，以便只有管理员才能启动交互操作（例如编辑菜单项和进入命令行界面）。如果指定了口令，在您按 C 键和 E 键并输入正确的口令之前，GRUB 2 将不允许任何交互控制。

有关示例，请参见 GRUB 2 手册页。

设置这些口令时请务必记住它们！此外，启用这些口令可能只会减缓入侵，而不一定能阻止入侵。同样，有些人可能会从移动设备引导，并装入您的根分区。如果您使用的是 BIOS 级别安全性和引导加载程序，较好的做法是禁用从您计算机 BIOS 中的移动设备进行引导的功能，然后还要通过口令来保护 BIOS 本身。

另请注意，需要将引导加载程序配置文件的模式更改为 600（仅限 root 读取/写入）以对其进行保护，否则其他人将能够读取您的口令或哈希！

seccheck SUSE 安全检查器是一组外壳脚本，旨在定期自动检查系统的本地安全，并通过电子邮件向 root 用户或管理员配置的任何用户发送报告。

如果 seccheck 未安装（在您的系统上），请使用 sudo zypper in seccheck 进行安装。这些脚本由 systemd 计时器进行控制，该计时器默认未启用，必须由管理员进行启用。

有以下四种 seccheck 计时器：

seccheck-daily.timer、seccheck-monthly.timer 和 seccheck-weekly.timer 运行多项检查，如第 2.4.2 节 “每日、每周和每月检查”中所述。seccheck-autologout.timer 可注销非活动用户，请参见第 2.4.3 节 “自动注销”。

您可以将 seccheck 邮件的收件人由 root 更改为 /etc/sysconfig/seccheck 中的任何用户。以下示例将其更改为名为 firewall 的管理员用户：

SECCHK_USER="firewall"

tux > sudo systemctl enable --now seccheck-daily.timer

tux > sudo systemctl list-timers

tux > sudo systemctl list-timers --all

2.4.2 每日、每周和每月检查 #

 

seccheck 执行下列每日检查：

/etc/passwd 检查	字段的长度/数量/内容，具有相同 UID 的帐户，UID/GID 为 0 或 1 的帐户（除了 root 和 bin）。
/etc/shadow 检查	字段的长度/数量/内容，没有口令的帐户
/etc/group 检查	字段的长度/数量/内容
用户 root 检查	安全 umask 和 PATH
/etc/ftpusers	检查是否将重要的系统用户置于此处
/etc/aliases	检查执行程序的邮件别名
.rhosts 检查	检查用户的 .rhosts 文件是否包含 + 符号
用户主目录	检查主目录是否可写入或被其他用户拥有
点文件检查	检查主目录中的众多点文件是否可写入或被其他用户拥有
邮箱检查	检查用户邮箱是否被用户拥有以及是否可读取
NFS 导出检查	不应进行全局导出
NFS 导入检查	NFS 装入应设置 nosuid 选项
混杂检查	检查网卡是否处于混杂模式
列表模块	列出装载的模块
列表套接字	列出打开的端口

下表列出了每周检查：

口令检查	运行 john 以破解口令文件，用户将收到更改其口令的电子邮件通知
RPM md5 检查	通过 RPM 的 MD5 校验和功能检查已更改文件
suid/sgid 检查	列出所有 suid 和 sgid 文件
可执行文件组写入	列出组可写/全局可写的所有可执行文件
可写入检查	列出全局可写的所有文件（包括可执行文件）
设备检查	列出所有设备

重要：使用 john 审计口令

要启用口令审计，必须先安装软件包 john，即 John the Ripper 快速口令破解程序。该软件包可从 https://build.opensuse.org/package/show/security/john 上的 openSUSE Build Service 获取。

每月检查会列显一份完整的报告，每日检查和每周检查的列显内容则不相同。

安全策略通常包含即将被淘汰或被处置的储存媒体的一些处理过程。磁盘和媒体擦除过程常常被描述为媒体的完全销毁。您可以在因特网上找到多个免费工具。搜索“dod 磁盘擦除实用程序”将返回多个搜索结果。要淘汰包含敏感数据的服务器，请务必确保无法从硬盘恢复数据。要确保已去除所有数据痕迹，可以使用 scrub 等擦除实用程序。许多擦除实用程序都会多次重写数据。这样可确保即使使用复杂的方法，也无法取回已擦除数据的任何部分。一些工具甚至可通过可引导移动设备进行操作，并根据美国国防部 (DoD) 标准去除数据。请注意，许多政府机构都会指定自己的数据安全标准。一些标准可能强于其他标准，但可能需要更多的实施时间。

重要：擦除耗损均衡设备

一些设备（例如 SSD）使用耗损均衡功能，不一定会在同一物理位置写入新数据。此类设备通常会提供自己的删除功能。

如果您的系统被入侵，可以使用备份来恢复先前的系统状态。发生 bug 或意外时，也可以使用备份将当前系统与旧版本进行比较。对于生产系统而言，请务必针对灾难等情况进行一些非现场备份（例如磁带/可刻录媒体的非现场储存，或非现场发起的储存）。

出于法律原因，一些公司和组织必须谨慎考虑备份过多信息以及保留时间过长的情况。如果您的环境设有销毁旧纸质文件的相关政策，您可能还需要将此政策扩展至 Linux 备份磁带。

有关服务器的物理安全的规则也适用于备份。此外，还建议您对备份数据进行加密。可对单个备份存档执行此操作，也可对整个备份文件系统执行此操作（如适用）。如果备份媒体丢失（例如在运输途中），加密可保护数据免受未经授权的访问。如果备份系统本身遭到入侵，则适用相同的规则。在某种程度上，加密还可确保备份的完整性。但请注意，相应人员需要能够在紧急情况下解密备份。此外，还应考虑加密密钥本身被入侵而需要替换的情况。

如果已知某个系统被入侵或疑似被入侵，请务必确定备份的完整性状态。如果在较长一段时间内都未检测到系统入侵，则有可能备份已包含被操控的配置文件或恶意程序。请保留足够长的备份历史以便检查可能的不合理差异。

即使不存在任何已知安全违规，也应定期检查各备份中重要配置文件之间的差异，这有助于发现安全问题（甚至可能的意外错误配置）。此方法最适合内容不会频繁发生更改的文件和环境。

服务器至少应该具有以下独立文件系统：/、/boot、/usr、/var、/tmp 和 /home。如此可避免一些问题，例如，/var 和 /tmp 下的日志记录空间和临时空间填满根分区。第三方应用程序也应位于独立的文件系统，例如在 /opt 下。

独立文件系统的另一项优势是可以选择只适合文件系统层次结构中某些区域的特殊装入选项。一些相关的装入选项包括：

在对分区装入应用上述选项之前，需要仔细考虑每个选项。否则应用程序可能会停止工作，或者可能会违反支持状态。如果正确应用，装入选项有助于抵御某些类型的安全攻击或避免错误配置。例如，无需将 set-user-ID 二进制文件置于 /tmp 中。

建议您查看第 1 章 “通用准则”。请务必了解是否需要将可能影响运行中系统的分区进行分隔（例如，日志文件会填满 /var/log，因此有必要将 /var 从 / 分区分隔出来）。另一个注意事项是您可能需要利用 LVM 或其他卷管理器，或者至少是扩展分区类型，来解决 PC 类系统上的四个主分区的限制。

SUSE Linux Enterprise Server 中的另一项功能是将分区甚至是充当容器的单个目录或文件进行加密。有关详细信息，请参见第 13 章 “对分区和文件进行加密”。

本指南中不会详细介绍如何从头设置 Linux 防火墙。大多数公司都会使用专用防火墙或设备来保护其生产网络中的服务器。强烈建议设置防火墙以确保环境安全。

SUSE Linux Enterprise Server 还包括 firewalld。这是一个防火墙守护程序，可使用 firewall-cmd 通过命令行进行配置，也可使用 firewall-config 在图形用户界面中配置。还可以通过 YaST 防火墙接口配置 firewalld 的基本设置。有关 firewalld 工作原理的详细信息，请参见 http://www.firewalld.org/documentation/。

如果您还对使用 iptables 直接编写防火墙规则的脚本感兴趣，因特网上提供了众多指南可供参考。相关资源请见附录。有关大量的 iptables 教程和示例，请参见 http://www.linuxguruz.com/iptables/。还有称为 nftables 的下一代 Linux 防火墙实施。编写防火墙规则的脚本时，使用该防火墙实施会更简单且功能更强大。https://wiki.nftables.org/wiki-nftables/index.php/Main_Page 中提供了有关 nftables 的详细信息。

以下列表显示您可用于保护 Linux 服务器免受攻击的可调内核参数。其中一些为 SLE 发行套件中已包含的默认参数。要查看任何这些设置的当前状态，您可以查询内核（/proc/sys/... 内容）。例如，源路由设置位于 /proc/sys/net/ipv4/conf/all/accept_source_route 文件中。只显示文件的内容，以查看当前运行的内核是如何设置的。

对于显示的每个可调内核参数，可修改需要受到影响的项更改，或将其添加到 /etc/sysctl.conf 配置文件中以使在重引导后保留更改。

您可以使用以下命令，获取当前内核设置列表：

root # sysctl -a

通过将 sysctl 命令的输出重定向到文件来储存内核设置的输出（以供比较或参考）是一个很好的方法，例如

root # sysctl -A > /root/sysctl.settings.store

由于 SUSE Linux Enterprise Server 默认包含专注于安全的内核微调参数，您会看到将稀疏填充现有 /etc/sysctl.conf 文件。您可以选择使用上述储存全部内核设置的“目录”方法，然后选择您要在重引导时重置的那些参数。您可以将这些参数置于 /etc/sysctl.conf 文件中，重引导时便可以在此处提取它们，也可以通过运行命令 sysctl -p 将它们立即插入（到正在运行的内核中）。

Oracle、SAP、DB2、Websphere 等众多第三方应用程序建议更改内核参数，以确保高性能的 I/O 或 CPU 处理。获取当前设置的完整列表有助于日后参考。

2.9.1 启用 TCP SYN Cookie 保护（SUSE Linux Enterprise Server 15 SP2 中的默认设置） #

 

SYN 攻击是一种拒绝服务攻击，会消耗掉计算机上的所有资源。连接到网络的任何服务器都可能会受到此攻击。要启用 TCP SYN Cookie 保护，请编辑 /etc/sysctl.conf 文件，并确保包含下面一行和值：

net.ipv4.tcp_syncookies = 1

注意

忽略配置选项的名称，它也适用于 IP6。

net.ipv4.conf.all.accept_source_route = 0

net.ipv6.conf.all.accept_source_route = 0

net.ipv4.conf.all.accept_redirects = 0

net.ipv6.conf.all.accept_redirects = 0

net.ipv4.conf.all.rp_filter = 1

net.ipv4.icmp_echo_ignore_all = 1

net.ipv4.icmp_echo_ignore_broadcasts = 1

net.ipv4.icmp_ignore_bogus_error_responses = 1

2.9.8 启用欺骗包、源路由包、重定向包的日志记录 #

 

要开启欺骗包、源路由包和重定向包的日志记录，请编辑 /etc/sysctl.conf 文件并添加下面一行：

net.ipv4.conf.all.log_martians = 1

注意

由于设置 SUSE Linux Enterprise Server（使用 rsyslog）以进行网络事件跟踪的方式，这可能会导致记录大量消息。

tux > cat /proc/sys/kernel/randomize_va_space
2

tux > dmesg | grep '[NX|DX]*protection'
[    0.000000] NX (Execute Disable) protection: active

tux > cat /proc/sys/kernel/kptr_restrict
1

tux > cat /proc/sys/fs/protected_hardlinks
1

tux > cat /proc/sys/fs/protected_symlinks
1

AppArmor 包含在 SUSE Linux Enterprise Server 中，是一种旨在为您的应用程序提供易于使用的安全框架的应用程序安全工具。AppArmor 可通过强制执行特定行为以及防止一些未知的应用程序缺陷被恶意利用，来主动保护操作系统和应用程序免受外部或内部威胁，甚至是零时差攻击。AppArmor 安全策略（称为“配置文件”）完整地定义了每个应用程序可访问的系统资源和文件。配置文件还定义了访问模式，例如读取或写入。AppArmor 随附多个默认配置文件，并结合使用高级静态分析和基于学习的工具，甚至在几个小时内便能成功部署适用于非常复杂的应用程序的 AppArmor 配置文件。

AppArmor 由以下部分组成：

最好在完成安装之后重引导系统，以便 AppArmor 能够限制所有系统守护程序。

有关 AppArmor 的使用和配置的其他细节和逐步说明，您还可以参见第 IV 部分 “通过 AppArmor 限制特权”。

除了传统的读取、写入或执行权限之外，SELinux 还提供更精细的访问控制。例如，您可以控制取消链接、追加或移动文件的人员。您可以控制对除文件以外的许多资源（例如网络资源和进程间通讯）的访问。此功能与基本启用一起随附于 SUSE Linux Enterprise Server 15 SP2 中。SUSE Linux Enterprise Server 上支持 SELinux 框架；SLES 提供在您的服务器上使用 SELinux 所需的所有二进制文件和库。有关详细信息，请参见第 V 部分 “SELinux 对比”的“配置 SELinux”一章。

FTP 的程序/协议、telnet 和 rlogin (rsh) 都容易遭到窃听，这是改用 ssh、scp 或 sftp 等安全替代方案的主要原因之一。强烈建议您不要运行这些不安全的服务。由于存在高风险，本指南未涵盖这些服务（vsftp 除外）。最好不要在系统上安装 FTP 和 Telnet 服务器 RPM（作为我们的指导的一部分，请参见下一节）。请注意，EAL 4+ 评估安装了 vsftp。“vs”表示“非常安全”，与常规 FTP 相比，具有竞争优势。

保护 Linux 系统的一个非常重要的步骤就是确定 Linux 服务器的主要功能或角色。否则，就很难了解需要保护哪些方面，并且对这些 Linux 系统的保护可能是无效的。因此，请务必查看默认的软件包列表，并去除任何与您定义的安全策略不符的不需要的软件包。

一般而言，RPM 软件包包含以下各项：

除非软件包包含以下项目，否则一般不会给系统带来任何安全风险：

假设上述三个条件均不适用，软件包只是文件集合。安装或卸载此类软件包对系统的安全价值不会产生影响。

但无论如何，将您系统中的已安装软件包限制为最少数量都会很有用。当发布安全警报和补丁时，限制最少数量将使得需要更新的软件包更少，并将简化维护工作。最好的做法是不要在生产服务器上安装开发软件包或桌面软件包（例如 X 服务器）。如果您不需要这些软件包，您也不应该安装它们，例如 Apache Web 服务器或 Samba 文件共享服务器。

重要：第三方安装程序的要求

Oracle 和 IBM 等许多第三方供应商需要桌面环境和开发库来运行安装程序。为避免它对生产服务器的安全产生影响，许多组织都会通过在开发实验室中创建静默安装（响应文件）来解决此问题。

此外，除非有正当的理由，否则也不应安装 FTP 和 Telnet 守护程序等其他软件包。应改用 ssh、scp 或 sftp 替代方案，请参见第 2.12 节 “FTP、telnet 和 rlogin (rsh)”。

最先执行的操作中的一项操作应该是创建仅包含系统和应用程序所需 RPM 以及维护和查错目的所需 RPM 的 Linux 映像。较好的做法是从 RPM 最少列表开始，然后根据需要添加软件包。此过程比较耗时，但通常是值得的。

提示：Just Enough Operating System (JeOS)

SUSE Appliance Program 包含一个称为 JeOS（最精简操作系统，Just Enough Operating System）的组件。JeOS 的占用量非常小，并且可以对其进行自定义，以满足系统开发人员的特定需求。JeOS 主要用于硬件/软件设备或虚拟机开发。JeOS 的主要优点是高效、高性能、高安全性以及管理简单。

如果您无法选择 JeOS，较好的选择是最小安装模式。

要生成所有已安装软件包的列表，请使用以下命令：

root # zypper packages -i

要检索有关特定软件包的细节，请运行：

root # zypper info PACKAGE_NAME

要在删除某个软件包时检查并报告可能的冲突或依赖项，请运行：

root # zypper rm -D PACKAGE_NAME

此命令非常有用，因为在未测试的情况下就运行去除命令常常会产生大量投诉，并且需要手动寻找递归依赖项。

重要：去除基本系统软件包

去除软件包时，请小心不要去除任何基本的系统软件包。这可能会使您的系统受损，无法再引导或修复。如果您对此不确定，最好是先对您的系统进行完整的备份，然后再去除任何软件包。

对于使用以下 zypper 命令并添加“-u”开关最后去除的一个或多个软件包，这将导致由于移除指定软件包而变为未使用的任何依赖项也将被去除：

root # zypper rm -u PACKAGE_NAME

为补丁管理构建基础结构是构成主动且安全的 Linux 生产环境的另一个非常重要的部分。

建议您实施书面安全策略和程序，以处理 Linux 安全更新和问题。例如，安全策略应详细指出评估、测试和发布补丁的时间范围。与网络有关的安全漏洞应具有最高优先级，并应在短时间内立即予以解决。评估阶段应发生于测试实验室内，并应首先在开发系统中进行初始发布。

独立的安全日志文件应包含有关已接收的 Linux 安全公告、已研究和已评估的补丁、补丁的应用时间等细节。

SUSE 发布以下三类补丁：安全、推荐和可选。可以使用一些选项来确保系统获得修补、是最新的且安全。每个系统都可以注册，然后使用附带的 YaST 工具（YaST 联机更新）通过 SUSE 更新网站来检索更新。SUSE 还创建了储存库镜像工具 (RMT)，它可以有效地维护可用/已发布补丁/更新/修复的本地储存库，以便系统随后可从该储存库中提取相应补丁/更新/修复，减少了因特网流量。SUSE 还提供 SUSE Manager，用于维护、修补、报告和集中管理 Linux 系统，不仅仅是 SUSE，其他分发包也提供有该工具。

为了保护服务器安全需要您了解其所提供的服务，即正在运行的服务。默认的服务器安装可能会包含非自显运行且使用开放网络端口的服务。因此最重要的任务之一就是检测并关闭不需要的网络端口。要获取监听网络端口（TCP 和 UDP 套接字）的列表，您可以使用 netstat 服务运行以下命令：

root # ss -tulpn

请注意，ss 输出的宽度可能大于默认终端屏幕的宽度。如果屏幕太窄，上述选项将可能导致输出换行，并且可读性变差。

下面是上述命令的一个输出示例：

Netid  State  Recv-Q Send-Q Local Address:Port  Peer Address:Port
udp    UNCONN 0      0        0.0.0.0%eth0:68         0.0.0.0:*   users:(("wickedd-dhcp4",pid=541,fd=8))
tcp    LISTEN 0      128           0.0.0.0:22         0.0.0.0:*   users:(("sshd",pid=1562,fd=3))
tcp    LISTEN 0      100         127.0.0.1:25         0.0.0.0:*   users:(("master",pid=1701,fd=13))
tcp    LISTEN 0      128              [::]:22            [::]:*   users:(("sshd",pid=1562,fd=4))
tcp    LISTEN 0      100             [::1]:25            [::]:*   users:(("master",pid=1701,fd=14))

从上面的输出可以看到，有 2 个基于 TCP 的服务和 1 个基于 UDP 的服务正在运行和监听：master、sshd 和 wickedd。应停止不需要的服务。使用其他计算机中的端口扫描进行确认。请务必获取适当的权限，以扫描生产网络上的计算机。

重要

一些组织将未经许可的端口扫描视为安全违规。

使用 nmap 命令可执行此类扫描：

root # nmap -sS -sU REMOTE_HOST
Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2004-12-10 22:51 CST
Interesting ports on venus (192.168.2.101):
(The 3131 ports scanned but not shown below are in state: closed)
PORT     STATE         SERVICE
22/tcp   open          ssh
69/tcp   open          auth

Nmap run completed -- 1 IP address (1 host up) scanned in 221.669 seconds

请注意，默认情况下，运行 nmap 命令将只会扫描某些知名端口。如果您要扫描所有端口，则需要指定 -p 1-65535。执行此操作将明显降低扫描速度。特别是对于 UDP 扫描，建议使用 masscan (https://software.opensuse.org/package/masscan) 等异步扫描仪。

root # masscan REMOTE_HOST/32 -p 1-65535

Starting masscan 1.0.4 (http://bit.ly/14GZzcT) at 2017-11-28 10:51:58 GMT
 -- forced options: -sS -Pn -n --randomize-hosts -v --send-eth
Initiating SYN Stealth Scan
Scanning 1 hosts [65535 ports/host]
Discovered open port 222/tcp on 192.168.1.2
Discovered open port 443/tcp on 192.168.1.2
Discovered open port 25/tcp on 192.168.1.2
Discovered open port 9030/tcp on 192.168.1.2
Discovered open port 587/tcp on 192.168.1.2
Discovered open port 80/tcp on 192.168.1.2

要扫描 UDP，请使用 U: 前缀指定端口：masscan REMOTE_HOST/32 -p U:1-65535。

扫描结果之间可能会有较大差别，并且可能不会显示所有监听网络套接字，具体视防火墙状态而定。

从上面运行的第一个示例中，您会看到 tftpd 守护程序正在端口 auth（端口 69）上监听 IDENT。您还可以看到 sendmail 未监听远程传入网络连接。

另一种列出程序正在主机上监听的所有 TCP 和 UDP 套接字的方法是使用 lsof 命令，它会列出打开的文件：

root # lsof -i -n | egrep 'COMMAND|LISTEN|UDP'
COMMAND  PID   USER   FD   TYPE    DEVICE SIZE/OFF NODE NAME
sshd     2317  root   3u   IPv6    6579   0t0      TCP *:ssh (LISTEN)
tftpd    2328  root   5u   IPv4    6698   0t0      TCP *:auth (LISTEN)
sendmail 2360  root   3u   IPv4    6729   0t0      TCP 127.0.0.1:smtp (LISTEN)

您应始终检查使用外部扫描通过在计算机上运行命令获得的结果。

Postfix 是 Sendmail 的替代方案，与 Sendmail 相比具有多项安全优势。Postfix 是 SUSE Linux Enterprise Server 中的默认邮件系统，并包含多个小程序，每个程序都可以执行各自的小型任务，大部分此类程序都在 chroot jail 中运行。这是建议使用 Postfix 来替代 Sendmail 的原因之一。

不属于专用邮件或中继服务器的 Linux 服务器不应接受外部电子邮件。但对于生产服务器来说，将本地电子邮件发送到中继服务器很重要 — 可以配置一些安全设置（例如 seccheck 脚本）以向除 root 以外的其他人发送电子邮件，甚至发送到本地系统之外。

校验 /etc/postfix/main.cf 中是否已设置下列参数，以确保 Postfix 仅接受传递本地电子邮件（请直达文件底部，因为前面的部分主要是注释掉的示例项和解释）：

mydestination = $myhostname, localhost.$mydomain, localhost
inet_interfaces = localhost

mydestination 参数列出用于接收电子邮件的所有域。inet_interfaces 参数指定要在其上监听的网络。重新配置 Postfix 之后，必须重启动邮件系统。

root # systemctl restart postfix

从其他主机运行下面其中一个命令，以校验 Postfix 是否未监听网络请求（传入）：

nmap -sT -p 25 REMOTE_HOST
telnet <remote_host> 25

注意

在本地主机上运行这些命令将提供不准确的结果，因为 Postfix 预期接受来自本地节点的连接。请使用外部主机，以获取正确结果。

NFS（网络文件系统）允许服务器通过网络共享文件。但使用 NFS 的所有网络服务都存在风险。

下面是一些基本规则：

如果您没有要导出的共享目录，则应确保未启用 NFS 服务，也未在系统上运行该服务。

检查 NFS 服务状态：

root # systemctl status nfsserver

检查当前目标：

root # ls /etc/systemd/system/*.wants/nfsserver.service

root # systemctl enable nfs
systemctl start nfs

root # rpcinfo -p SERVERNAME
   program vers proto   port
    100000    2   tcp    111  portmapper
    100000    2   udp    111  portmapper
    100003    2   udp   2049  nfs
    100003    3   udp   2049  nfs
    100003    2   tcp   2049  nfs
    100003    3   tcp   2049  nfs
    100005    1   udp    623  mountd
    100005    1   tcp    626  mountd
    100005    2   udp    623  mountd
    100005    2   tcp    626  mountd
    100005    3   udp    623  mountd
    100005    3   tcp    626  mountd

root # rpcinfo -p SERVERNAME
No remote programs registered.

      /pub *.network.example.com(ro,sync)

/data/MYSQL sles-ha1.example.com(rw,sync) sles-ha2.example.com(rw,sync) sles-ha3.example.com(rw,sync)

root # exportfs -a

root # exportfs -ua

root # showmount -e localhost
Export list for localhost:

/pub *.network.example.com/data/MYSQL
sles-ha1.example.com,sles-ha2.example.com,sles-ha3.example.com

root # mount -o proto=tcp SERVERNAME:/pub /usr/local/pub

root # mount [...] SERVERNAME:/pub on
/usr/local/pub type nfs (rw,proto=tcp,addr=192.168.1.110)

SERVERNAME:/pub /usr/local/pub nfs rsize=8192,wsize=8192,timeo=14,intr,tcp 0 0

在某些情况下，需要此示例，以便在未提供交互式登录提示的情况下使用 SSH 通过网络来复制文件。此操作允许设置可信主机 — 即是一种联合。

SSH 允许使用“command”选项的强制命令。使用此选项可以禁用 scp（安全复制）并强制忽略每个已传递的 ssh 命令。在您要检索其中文件的服务器端，将以下项添加到 ~/.ssh/authorized_keys 文件中 SSH 密钥的开头（~ 表示特定的用户主目录 – root 的主目录为 /root – 其他用户通常位于 /home/USERNAME）：

command="/bin/cat ~/<file_name>" ssh-rsa AAAAB3N...{etc}

要立即从远程服务器复制文件，请运行以下命令：

ssh USER@SERVERNAME LOCAL_FILE

由于在服务器端运行了 /bin/cat，需要将其输出重定向到本地文件。

另一种方法是使用您自己的脚本替换 /bin/cat（上文中提及），该脚本通过读取环境变量 $SSH_ORIGINAL_COMMAND 检查已传递的 SSH 命令。例如：

#!/bin/ksh
 if [[ $SSH_ORIGINAL_COMMAND = "File1" ||
       $SSH_ORIGINAL_COMMAND = "File2" ]]
 then
     /bin/cat $SSH_ORIGINAL_COMMAND
 else
     echo "Invalid file name!"
     exit 1
 fi

因此在 ~/.ssh/authorized_keys 中使用脚本名称替换 /bin/cat 部分，然后运行以下命令以复制 Foo1：

tux > ssh USER@SERVERNAME Foo1 > LOCAL_FILE

要复制 Foo 2，请运行：

tux > ssh USER@SERVERNAME Foo2 > LOCAL_FILE

完成上述修改后，其他任何一种已传递参数都将返回错误。

以下几节介绍修改默认权限和文件设置以提高主机安全性的一些方法。请务必注意 seccheck 等默认 SUSE Linux Enterprise Server 实用程序的使用 - 可运行该实用程序进行锁定，提高一般文件安全性并改善用户环境。但最好了解如何修改这些项目。

SUSE Linux Enterprise Server 主机包含以下三个默认文件权限设置：permissions.easy、permissions.secure 和 permissions.paranoid，这三者均位于 /etc 目录中。这些文件用于定义特殊权限（如全局可写目录），或为文件定义 setuser ID 位（设置了 setuser ID 位的程序未以启动该程序的用户权限运行，而是以文件拥有者权限运行，通常为 root）。

管理员可以使用文件 /etc/permissions.local 添加自己的设置。实施上述其中一个默认权限规则集最简单的方法就是使用 YaST 中的本地安全模块。

将由某个选定规则集修改以下每一个主题，但请务必了解其自身信息。

umask（用户文件创建模式掩码）命令是一个外壳内置命令，决定了新创建文件和目录的默认文件权限。它可被系统调用重写，但许多程序和实用程序都使用 umask。默认情况下，umask 设置为 022。您可以更改 /etc/profile 中的值以全局修改此设置，也可针对外壳启动文件中的每个用户进行更改。

要确定活动的 umask，请使用 umask 命令：

tux > umask
022

如果至少设置了一个位，则将从访问模式 777 去除 umask。

使用默认的 umask，您将会看到大多数用户预期可在 Linux 系统上看到的行为。

tux > touch a
tux > mkdir b
tux > ls -on
total 16
-rw-r--r--. 1 17086    0 Nov 29 15:05 a
drwxr-xr-x. 2 17086 4096 Nov 29 15:05 b

您可以指定任意 umask 值，具体取决于您的需求。

tux > umask 111
tux > touch c
tux > mkdir d
tux > ls -on
total 16
-rw-rw-rw-. 1 17086    0 Nov 29 15:05 c
drw-rw-rw-. 2 17086 4096 Nov 29 15:05 d

根据您的线程模型，您可以使用 037 等更严格的 umask，以防止意外数据泄漏。

tux > umask 037
tux > touch e
tux > mkdir f
tux > ls -on
total 16
-rw-r-----. 1 17086    0 Nov 29 15:06 e
drwxr-----. 2 17086 4096 Nov 29 15:06 f

如果在可执行文件上设置 SUID（设置用户 ID）位或 SGID（设置组 ID）位，它会以可执行文件拥有者的 UID 或 GID 来执行，而不是以执行人员的 UID 或 GID 来执行。举例来说，这意味着会以 root 的 UID 执行设置了 SUID 位且由 root 拥有的所有可执行文件。passwd 命令就是一个典型的示例，它允许普通用户更新由 root 拥有的 /etc/shadow 文件中的口令字段。

但当可执行文件存在安全漏洞时，SUID/SGID 位可能会被滥用。因此，您应该搜索整个系统中的 SUID/SGID 可执行文件并进行记录。要搜索整个系统中的 SUID 或 SGID 文件，您可以运行以下命令：

root # find /bin /boot /etc /home /lib /lib64 /opt /root /sbin /srv /tmp /usr /var -type f -perm '/6000' -ls

如果您有其他文件系统结构，则需要扩展搜索的目录列表。

SUSE 仅在确实需要时才会在二进制文件上设置 SUID/SGID 位。不是绝对必要的情况下，请确保代码开发人员未在其程序上设置 SUID/SGID 位。通常，您可以使用诸如去除世界/其他可执行文件位等解决方法。但更好的方法是更改软件设计或使用权限。

SUSE Linux Enterprise Server 支持文件权限，可授予程序更精细的特权，而不是 root 的全部权限：

root # getcap -v /usr/bin/ping
      /usr/bin/ping = cap_new_raw+eip

上一个命令只会为执行 ping 的人员授予 CAP_NET_RAW 权限。如果 ping 的内部存在漏洞，攻击者最多可以获得此权限，而不是 root 的全部权限。可能的情况下，应选择文件权限以支持 SUID 位。但仅当二进制文件的 suid 设置为 root，而不是其他 news、lp 等类似用户时，这一条才适用。

全局可写文件存在安全风险，因为系统上的任何用户都可以对其进行修改。此外，全局可写目录允许任何人添加或删除文件。要查找全局可写文件和目录，您可以使用以下命令：

root # find /bin /boot /etc /home /lib /lib64 /opt /root /sbin /srv /tmp /usr /var -type f -perm -2 ! -type l -ls

如果您有其他文件系统结构，则需要扩展搜索的目录列表。

! -type l 参数可跳过所有符号链接，因为符号链接始终为全局可写。但只要链接的目标不是全局可写（由上述查找命令进行检查），就不会发生问题。

带有粘滞位的全局可写目录（例如 /tmp 目录）不允许任何人（文件拥有者除外）在此目录中执行文件删除或重命名操作。粘滞位使文件与其创建用户相关联，可防止其他用户删除和重命名该文件。因此，带有粘滞位的全局可写目录通常都不会发生问题，具体视目录的用途而定。例如 /tmp 目录：

tux > ls -ld /tmp
drwxrwxrwt 18 root root 16384 Dec 23 22:20 /tmp

输出中的 t 模式位表示粘滞位。

未被任何用户或组拥有的文件本身不一定会发生安全问题。但无拥有者的文件可能会在将来发生安全问题。例如，如果创建了新用户，并且该新用户获得的 UID 刚好与无拥有者文件的 UID 相同，则该新用户将自动成为这些文件的拥有者。

要查找未被任何用户或组拥有的文件，请使用以下命令：

root # find /bin /boot /etc /home /lib /lib64 /opt /root /sbin /srv /tmp /usr /var -nouser -o -nogroup

如果您有其他文件系统结构，则需要扩展搜索的目录列表。

另一个问题是未通过打包系统安装因此未收到更新的文件。您可以使用以下命令检查此类文件：

tux > find /bin /lib /lib64 /usr -path /usr/local -prune -o -type f -a -exec /bin/sh -c "rpm -qf {} &> /dev/null || echo {}" \;

因为经过设计的文件名可能会导致命令执行，会以不可信用户（例如“没有任何用户”）运行此命令。这不应成为一个问题，因为这些目录只能由 root 进行写入，但仍不失为一项良好的安全预防措施。

这将会显示 /bin、/lib、/lib64 和 /usr（/usr/local 中的文件除外）下软件包管理器未跟踪的所有文件。这些文件可能不代表安全问题，但您应注意未跟踪的文件，并执行必要的预防措施确保这些文件是最新的。

在某些环境中，需要限制访问可移动媒体，例如 USB 储存或光学设备。udisks2 软件包随附的工具有助于进行此类配置。

口令失效是一种普遍采用的最佳实践，但对于一些系统帐户和共享帐户（例如 Oracle 等）而言，可能需要将其排除。如果应用程序帐户失效，这些帐户上的失效口令可能会导致系统服务中断。

通常情况下，应针对系统帐户和共享帐户的口令更改规则/程序制定相应的公司政策。但常规用户帐户口令应该会自动失效。以下示例显示如何针对各个用户帐户设置口令失效。

使用 useradd 命令创建新帐户时，可以使用下表中的文件和参数。将在 /etc/shadow 文件中为每个用户帐户储存此类设置。如果使用 YaST 工具（用户和组管理）添加用户，则会为每个用户提供该设置。下面是各种不同的设置，其中一些也可能是系统范围的设置（例如修改 /etc/login.defs 和 /etc/default/useradd）：

注意

在这些修改之前创建的用户不受影响。

请确保在 /etc/login.defs 和 /etc/default/useradd 文件中更改上述参数。审阅 /etc/shadow 文件将显示在添加用户之后如何储存这些设置。

要创建新用户帐户，请执行以下命令：

root # useradd -c "TEST_USER" -g USERS TEST

-g 选项指定此帐户的主组：

root # id TEST
uid=509(test) gid=100(users) groups=100(users)

为 /etc/shadow 文件中的测试用户在 /etc/login.defs 和 /etc/default/useradd 中记录的设置如下所示：

root # grep TEST /etc/shadow
test:!!:12742:7:60:7:14::

可使用 chage 命令随时修改口令时效。要禁用系统帐户和共享帐户的口令时效，您可以运行以下 chage 命令：

root # chage -M -1 SYSTEM_ACCOUNT_NAME

要获取口令失效信息，请运行：

root # chage -l SYSTEM_ACCOUNT_NAME

例如：

root # chage -l TEST
Minimum: 7
Maximum: 60
Warning: 7
Inactive: 14
Last Change: Jan 11, 2015
Password Expires: Mar 12, 2015
Password Inactive: Mar 26, 2015
Account Expires: Never

在经审计的系统上，请务必限制用户使用可被轻松破解的简单口令。可以将复杂的口令记下来，只要妥善保管即可。有些人主张通过强口令来保护您免受字典攻击，并可通过数次失败尝试之后锁定帐户来防御此类攻击。但此方法并非始终有效。如果进行此类设置，锁定系统帐户可能会使应用程序和系统服务中断，这无异会产生另一个问题 — 拒绝服务攻击。

但无论怎样，实施有效的口令管理安全措施都很重要。大多数公司会要求口令至少包含一个数字、一个小写字母和一个大写字母。虽政策各不相同，但有时要在口令强度/复杂性和管理之间取得平衡并不容易。

Linux-PAM（适用于 Linux 的可插入身份验证模块）是一组共享库，可让本地系统管理员选择应用程序该如何对用户进行身份验证。

强烈建议您熟悉 PAM 的功能以及如何利用此体系结构为某个环境提供最佳身份验证设置。可以立即完成此配置并在所有系统中进行实施（标准），也可以针对各个主机进行增强（增强安全性 – 按主机/服务/应用程序进行增强）。重点了解该体系结构的灵活性。

要了解有关 PAM 体系结构的详细信息，请参见 /usr/share/doc/packages/pam 目录中的 PAM 文档（提供多种格式）。

下面讨论的是如何修改默认 PAM 堆栈的示例（特别是围绕口令政策展开），例如口令强度、口令重复使用和帐户锁定。虽然只涉及了少数几种可能性，但它们是一个良好的开端，向您展示了 PAM 的灵活性。

重要：pam-config 限制

pam-config 工具可用于配置包含全局选项的 common-{account,auth,password,session} PAM 配置文件。这些文件包含以下注释：

# This file is autogenerated by pam-config. All changes
# will be overwritten.

个别服务文件（例如 login、password、sshd 和 su）必须直接编辑。您可以选择直接编辑所有文件，而不使用 pam-config，虽然 pam-config 包含转换较旧配置、更新当前配置和健全性检查等有用功能。有关详细信息，请参见 man 8 pam-config。

tux > sudo pam-config -a --cracklib-minlen=8 --cracklib-retry=3 \
--cracklib-lcredit=-1 --cracklib-ucredit=-1 --cracklib-dcredit=-1 \
--cracklib-ocredit=-1 --cracklib

tux > sudo pam-config -a --pwhistory --pwhistory-remember=26

auth      required   pam_env.so
auth      required   pam_unix.so     try_first_pass
account   required   pam_unix.so     try_first_pass
password  requisit   pam_cracklib.so
password  required   pam_pwhistory.so        remember=26
password  optional   pam_gnome_keyring.so    use_authtok
password  required   pam_unix.so     use_authtok nullok shadow try_first_pass
session   required   pam_limits.so
session   required   pam_unix.so     try_first_pass
session   optional   pam_umask.so

auth required pam_tally2.so deny=6 unlock_time=600

#%PAM-1.0
auth     requisite      pam_nologin.so
auth     include        common-auth
auth     required       pam_tally2.so deny=6 unlock_time=600
account  include        common-account
account  required       pam_tally2.so
password include        common-password
session  required       pam_loginuid.so
session  include        common-session
#session  optional       pam_lastlog.so nowtmp showfailed
session  optional       pam_mail.so standard

auth required pam_tally2.so deny=6 even_deny_root unlock_time=600

auth required pam_tally2.so deny=6 root_unlock_time=120  unlock_time=600

root # pam_tally2 -u username
Login           Failures Latest failure     From
username            6    12/17/19 13:49:43  pts/1

root # pam_tally2 -r -u username

默认情况下，为 root 用户分配了口令，并且该用户可以使用各种方法进行登录 — 例如，在本地终端上、在图形会话中，或者通过 SSH 远程登录。应尽可能限制使用这些方法登录。应避免共享使用 root 帐户。而是由各个管理员使用 su 或 sudo 等工具（有关详细信息，请键入 man 1 su 或 man 8 sudo）获取提升的特权。如此可将 root 登录与特定用户相关联。同时还可增加另一层安全保护；不仅仅是 root 口令，还有管理员常规帐户的 root 以及口令都需要破解后才能获得完全的 root 访问权限。本节说明如何限制在不同级别系统上的直接 root 登录。

2.29.1 限制本地文本控制台登录 #

 

TTY 设备通过控制台提供文本模式的系统访问权限。对于桌面系统，通过本地键盘进行访问；或如果是服务器系统，则通过连接到 KVM 交换机或远程管理卡（ILO、DRAC 等）的输入设备进行访问。默认情况下，Linux 提供 6 个不同的控制台，在文本模式下运行时，可通过组合键 Alt–F1 到 Alt–F6 进行切换；或在图形会话中运行时，可通过组合键 Ctrl–Alt–F1 到 Ctrl–Alt–F6 进行切换。关联的终端设备则相应地名为 tty1 ..tty6。

下面的步骤限制对第一个 TTY 的 root 访问。此访问方法仅作为系统的紧急访问方式，绝不应将其用于日常系统管理任务。

注意

此处显示的步骤根据 PC 体系结构（x86 和 AMD64/Intel 64）进行定制。在 POWER 等体系结构上，可能会使用除 tty1 以外的其他终端设备名称。请小心不要因为指定了错误的终端设备名称而将您自己完全锁定。您可以通过运行 tty 命令，确定当前登录的终端的设备名称。请注意不要在虚拟终端（例如通过 SSH）或图形会话（设备名称 /dev/pts/N）中执行此操作，而只通过实际登录终端（可通过 Alt–FN 访问）进行操作。

过程 2.1︰ 限制在本地 TTY 上进行 root 登录 #

 

1. 请确保 PAM 堆栈配置文件 /etc/pam.d/login 包含 auth 块中的 pam_securetty 模块：

   auth     requisite      pam_nologin.so
    auth     [user_unknown=ignore success=ok ignore=ignore auth_err=die default=bad] pam_securetty.so noconsole
    auth     include        common-auth

   在本地控制台上进行身份验证过程中，将包含 pam_securetty 模块，该模块会将 root 限制为仅在文件 /etc/securetty 中列出的 TTY 设备上登录。

2. 去除 /etc/securetty 中除这一项外的其他所有项。这将限制对 TTY 设备的 root 访问。

   #
   # This file contains the device names of tty lines (one per line,
   # without leading /dev/) on which root is allowed to login.
   #
   tty1

3. 检查是否会拒绝 root 登录其他终端。应立即拒绝在 tty2 等终端上登录，甚至无需查询帐户口令。同时确保您仍可以成功登录 tty1，因此不会完全锁定系统的 root。

重要

请不要将 pam_securetty 模块添加到 /etc/pam.d/common-auth 文件中。这将破坏 su 和 sudo 命令，因为这些工具也会拒绝 root 身份验证。

重要

这些配置更改还将导致拒绝在 /dev/ttyS0 等串行控制台上进行 root 登录。如果您需要此类用例，则需要在 /etc/securetty 文件中额外列出相应的 tty 设备。

2.29.3 限制 SSH 登录 #

 

默认情况下，还允许 root 用户通过 SSH 网络协议（如果 SSH 端口未被防火墙阻止）远程登录计算机。要限制此类登录，请对 OpenSSH 配置进行以下更改：

1. 编辑 /etc/ssh/sshd_config 并调整以下参数：

   PermitRootLogin no

2. 重启动 sshd 服务以使更改生效：

   systemctl restart sshd.service

注意

对于 OpenSSH，不适合使用 PAM pam_securetty 模块，因为在授权期间并非所有 SSH 登录都会通过 PAM 堆栈进行（例如使用 SSH 公共密钥身份验证时）。此外，攻击者能够区分错误口令和策略只能在稍后予以拒绝的成功登录。

最好在一段无活动时间之后终止交互式外壳会话。例如，为了阻止打开的无人监管会话或为了避免浪费系统资源。

默认情况下，外壳没有无活动超时。如此当外壳处于打开状态且在几天甚至几年内未被使用时，也不会有任何反应。您可以通过在一段时间后自动终止空闲会话的方式配置大多数外壳。以下示例显示如何为一些常见类型的外壳设置无活动超时。

可仅为登录外壳配置无活动超时，也可以为所有交互式外壳配置无活动超时。对于后者，将针对每个外壳实例单独运行无活动超时。这意味着超时将会累积。当启动子外壳时，会为子外壳开始新的超时，并且仅在此超时过后，才会继续运行父外壳的超时。

下表包含 SUSE Linux Enterprise Server 随附的常见外壳选集的配置详细信息：

每个列出的外壳支持使用一个内部超时外壳变量，可将该变量设置为某个特定时间值以触发无活动超时。如果您要防止用户覆盖超时设置，可以将相应的外壳超时变量标记为只读。上表中还提供了相应的变量声明语法。

注意

此功能仅有助于避免因用户疏忽或遵循不安全做法而导致的风险。而无法防范恶意用户。超时只适用于外壳的交互式等待状态。恶意用户总是能找到绕过超时的方法，使得无论在任何情况下，都可以让其会话保持打开状态。

要配置无活动超时，您需要为每个外壳的启动脚本添加匹配的超时变量声明。可仅为登录外壳使用一种路径，或为所有外壳使用一种路径，如表中所列。以下示例使用适合 bash 和 ksh 的路径和设置，以设置无法被用户覆盖的只读登录外壳超时。使用以下内容创建文件 /etc/profile.d/timeout.sh：

# /etc/profile.d/timeout.sh for SUSE Linux
#
# Timeout in seconds until the bash/ksh session is terminated
# in case of inactivity.
# 24h = 86400 sec
readonly TMOUT=86400

提示

建议使用 screen 工具在注销前分离会话。screen 会话不会终止，一旦有需要便可重新挂接。可以在未注销的情况下锁定活动会话（有关细节，请阅读 man screen 中的 Ctrl–a–x / lockscreen）。

Linux 允许您对用户和组可以使用的系统资源量设置限制。如果因为程序中的 bug 导致用户和组使用太多资源（例如内存泄漏）、减慢计算机速度，甚至使系统无法使用，此项设置也非常有用。错误的设置可允许程序使用过多资源，导致服务器无法响应新连接，甚至无法响应本地登录（例如，如果某个程序用掉主机上的所有可用文件句柄）。如果允许某人用掉所有系统资源并因此导致拒绝服务攻击（无论是未计划还是更糟的计划攻击），这也会成为一个安全问题。设置用户和组的资源限制可能是一种有效的系统保护方法，具体视环境而定。

2.31.1 限制系统资源示例 #

 

以下示例演示了设置或限制 Oracle 用户帐户的系统资源使用的实际用法。有关系统资源设置列表，请参见 /etc/security/limits.conf 或 man limits.conf。

Bash 等大多数外壳都提供有基于用户的各种资源控制（例如最大的可打开文件描述符数目或最大进程数）。要检查外壳中的所有当前限制，请执行：

root # ulimit -a

有关 Bash 外壳的 ulimit 的详细信息，请查看 Bash 手册页。

重要：设置 SSH 会话的限制

使用 SSH 会话时，设置“硬”和“软”限制可能无法如预期般起效。要查看有效行为，可能需要以 root 身份登录，然后再使用 su 命令转为具有限制的身份（例如，在这些示例中为 oracle）。假设在引导过程中已自动启动应用程序，资源限制也应正常起效。如果对资源限制的更改似乎未起效（通过 SSH），可能需要将 /etc/ssh/sshd_config 中的 UsePrivilegeSeparation 设置为“no”，并重启动 SSH 守护程序 (systemctl restart sshd)。但一般不建议您这样做，因为这会降低系统安全性。

提示：禁用通过 ssh 进行的口令登录

您可以通过禁用 SSH 的口令身份验证来为服务器增加一定程度的安全性。请记住，您需要配置 SSH 密钥，否则无法访问服务器。要禁用口令登录，请在 /etc/ssh/sshd_config 中添加下面几行：

UseLogin no
UsePAM no
PasswordAuthentication no
PubkeyAuthentication yes

在此示例中，可通过以 root 身份编辑 /etc/security/limits.conf 并进行以下更改，来更改用户 oracle 可使用的文件句柄数或打开的文件数：

oracle           soft    nofile          4096
oracle           hard    nofile          63536

第一行中的软限制定义了登录后 oracle 用户将拥有的文件句柄（打开的文件）数目限制。如果用户看到有关文件句柄用尽的错误消息，则可以执行以下命令，将此示例中所示的文件句柄数增加到硬限制（在此示例中为 63536）：

root # ulimit -n 63536

必要时，您可以设置更高的软限制和硬限制。

注意

请务必合理利用 ulimit。允许某个用户的“nofile”的“硬”限制（相当于内核限制 (/proc/sys/fs/file-max)）会非常糟糕！如果用户用完所有可用的文件句柄，则系统将无法启动新登录，因为无法访问（打开）执行登录所需的 PAM 模块。

您还需要确保在 /etc/pam.d/common-auth 中全局配置 pam_limits，或者针对以下文件中的 SSH、su、login 和 telnet 等个别服务进行配置：

/etc/pam.d/sshd（用于 SSH）

/etc/pam.d/su（用于 su）

/etc/pam.d/login（本地登录和 telnet）

如果您不想为所有登录启用该配置，会有一个特定 PAM 模块读取 /etc/security/limits.conf 文件。PAM 配置指令中的项如下所示：

session     required      /lib/security/pam_limits.so
session     required      /lib/security/pam_unix.so

请务必注意，更改不会立即生效，需要新的登录会话：

root # su – oracle
tux > ulimit -n
4096

请注意，这些示例特定于 Bash 外壳 - 其他外壳的 ulimit 选项会有所不同。用户 oracle 的默认限制为 4096。要将用户 oracle 可使用的文件句柄数增加至 63536，请执行：

root # su – oracle
tux > ulimit -n
4096
tux > ulimit -n 63536
tux > ulimit -n
63536

要使此项成为永久设置，需要向用户配置文件（~/.bashrc 或 ~/.profile 文件）添加设置 ulimit -n 63536（仍是适用于 Bash），该配置文件为 SUSE Linux Enterprise Server 上的 Bash 外壳的用户启动文件（用于校验您的外壳运行：echo $SHELL）。要执行此操作，您只需针对用户 oracle 的 Bash 外壳键入（或复制/粘贴 - 如果您是在系统上读取）以下命令：

root # su - oracle
tux > cat >> ~oracle/.bash_profile << EOF
ulimit -n 63536
EOF

出于法律/审计政策原因，或者为了向用户提供安全说明，通常有必要在所有服务器上的登录屏幕上设置一个标题。

如果您想要在用户登录文本型终端（例如，使用 SSH 或在本地控制台上）后列显登录标题，可以使用文件 /etc/motd（motd = 当天的消息）。默认情况下，该文件存在于 SUSE Linux Enterprise Server 上，但是空文件。只需向适用的/组织所需的文件中添加内容。

注意：标题长度

请尽量将登录标题内容放在一个终端页面（或更少）中，如果一页容纳不下而需要滚动屏幕，会使阅读变得更加困难。

您也可以在用户登录文本型终端前列显登录标题。如果是本地控制台登录，您可以编辑 /etc/issue 文件，这会导致在出现登录提示前显示标题。如果是通过 SSH 进行登录，您可以编辑 /etc/ssh/sshd_config 文件中的“标题”参数，这会在出现 SSH 登录提示前相应地显示标题文本。

如果是通过 GDM 进行的图形登录，您可以遵循 GNOME 管理员指南设置登录标题。此外，您可以进行以下更改，要求用户通过选择是或否来确认法律标题。编辑 /etc/gdm/Xsession 文件，并在脚本开头添加下面几行：

if ! /usr/bin/gdialog --yesno '\nThis system is classified...\n' 10 10; then
    /usr/bin/gdialog --infobox 'Aborting login'
    exit 1;
fi

需要将文本 This system is classified... 替换为所需的标题文本。请务必注意，此对话框不会阻止登录进行。有关 GDM 脚本的详细信息，请参见 GDM 管理员手册。