如何让Linux系统更加安全 Linux安全技巧(3)

　　11、关闭IPv6

　　如果不用IPv6协议，那就应该关闭掉它，因为大部分的应用和策略都不会用到IPv6，而且当前它不是服务器必需的。可以在网络配置文件中加入如下几行来关掉它。

　　# vi /etc/sysconfig/networkNETWORKING_IPV6=no

　　IPV6INIT=no

　　12、限制用户使用旧密码

　　如果你不希望用户继续使用老密码，这一条很有用。老的密码文件位于 /etc/security/opasswd。你可以使用 PAM 模块实现。

　　RHEL / CentOS / Fedora 中打开‘/etc/pam.d/system-auth‘ 文件。

　　# vi /etc/pam.d/system-authUbuntu/Debian/Linux Mint 中打开 ‘/etc/pam.d/common-password‘ 文件。

　　# vi /etc/pam.d/common-password在‘auth‘ 块中添加下面一行。

　　auth sufficient pam_unix.so likeauth nullok在 ‘password‘ 块添加下面一行，禁止用户重新使用其过去最后用过的 5个密码。

　　password sufficient pam_unix.so nullok use_authtok md5 shadow remember=5服务器只记录最后的 5 个密码。如果你试图使用曾用的最后 5个老密码中的任意一个，你将看到如下的错误提示。

　　Password has been already used. Choose another.

　　13、如何检查用户密码过期

　　在 Linux 中，用户的密码以加密的形式保存在‘/etc/shadow‘ 文件中。要检查用户的密码是否过期，你需要使用‘chage‘ 命令。它将显示密码的最后修改日期及密码期限的细节信息。这些细节就是系统决定用户是否必须修改其密码的依据。

　　要查看任一存在用户的老化信息，如过期日和时长，使用如下命令。

　　#chage -l username要修改任一用户的密码老化，使用如下命令。

　　#chage -M 60 username

　　#chage -M 60 -m 7 -W 7 userName参数

　　-M 设置天数最大数字

　　-m 设定天数最小数字

　　-W 设定想要的天数

　　14、手动锁定或解锁用户账号

　　锁定和解锁功能是非常有用的，你可以锁定一个账号一周或一个月，而不是将这个账号从系统中剔除。可以用下面这个命令锁定一个特定用户。

　　# passwd -l accountName提示：这个被锁定的用户仅对root用户仍然可见。这个锁定是通过将加密过的密码替换成(!)来实现的。如果有个想用这个账号来进入系统，他会得到类似下面这个错误的提示。

　　# su - accountName

　　This account is currently not available.解锁一个被锁定的账号时，用下面这个命令。这命令会将被替换成(!)的密码改回来。

　　# passwd -u accountName

       15、增强密码

　　有相当数量的用户使用很弱智的密码，他们的密码都可以通过字典攻击或者暴力攻击攻破。‘pam_cracklib‘模块存于在PAM 中，它可以强制用户设置复杂的密码。通过编辑器打开下面的文件。

　　# vi /etc/pam.d/system-auth在文件中增加一行，使用认证参数(lcredit, ucredit, dcredit 或者 ocredit 对应小写字母、大写字母，数字和其他字符)

　　/lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-2 dcredit=-2 ocredit=-1