413课堂练习《第十章》加强控制台安全

目录
413课堂练习《第一章》跟踪安全更新
413课堂练习《第二章》管理软件更新
413课堂练习《第三章》创建文件系统
413课堂练习《第四章》管理文件系统
413课堂练习《第五章》特殊权限管理
413课堂练习《第六章》管理附加文件权限
413课堂练习《第七章》监视文件系统变更
413课堂练习《第八章》管理用户账户
413课堂练习《第九章》管理PAM
413课堂练习《第十章》加强控制台安全
413课堂练习《第十一章》安装CA中心
413课堂练习《第十二章》管理CA中心
413课堂练习《第十三章》配置系统日志
413课堂练习《第十四章》配置系统审计
413课堂练习《第十五章》控制网络服务访问

课堂实验
1. 生成一个哈希的GRUB口令
[root@demo ~]# grub-crypt
Password: redhat
Retype password: redhat
$6$17Pelrkwljhx17fk$kY1QRxEZUQzHbczOpUGI5B21WkadmAsayZMDFlOfJLknkYSQOqcwEQhiOpg6JGacE9uRAryZ.52oB76hrY9gNO

2. 将口令加入到GRUB配置中使之成为全局口令
[root@demo ~]# vim /etc/grub.conf
# Many lines of comments . . .
default=0
timeout=5
splashimage=(hd0,0)/grub/splash.xpm.gz
hiddenmenu
password --encrypted $6$17Pelrkwljhx17fk$kY1QRxEZUQzHbczOpUGI5B21WkadmAsayZMDFlOfJLknkYSQOqcwEQhiOpg 6JGacE9uRAryZ.52oB76hrY9gNO
title Red Hat Enterprise Linux (2.6.32-358.e16.x86_64)
......

3. 确认口令生效
重启后在GRUB界面输入口令后才能编辑启动项

课堂演示
1. 编辑init子系统，使control-alt-delete热键失效
[root@serverX ~]# cp /etc/init/control-alt-delete.conf /etc/init/control-alt-delete.override
[root@serverX ~]# vim /etc/init/control-alt-delete.override
......
exec /bin/true

2. 下载标准的登录条幅，使之能够在用户登录前显示
[root@serverX ~]# wget http://instructor.example.com/pub/materials/login_banner.txt -O /etc/issue

3. 下载标准的 接受信息 ，使之在成功登录后显示
[root@serverX ~]# wget http://instructor.example.com/pub/materials/use_policy.txt -O /etc/motd

讲解讨论（变更GDM）
（略）

案例（按照安全策略需求设置控制台）
1. 使公司的标准信息能够显示，包括图形化控制台
[root@serverX ~] # wget http ://instruetor.example.c om/pub/materials/ login_banner.txt
[root@serverX ~] # cat  login_banner.txt > /etc/issue
[root@serverX ~]# gconftool-2 --direct --config-source xml:readwrite:/etc/gconf/gconf.xml.defaults --type bool --set /apps/gdm/simple-greeter/banner_message_enable true
[root@serverX ~]# gconftool-2 --direct --config-source xml:readwrite:/etc/gconf/gconf.xml.defaults --type string --set /apps/gdm/simple-greeter/banner_message_text "$(cat login_banner.txt)"

2. 用户登录后可显示标准化接受信息
[root@serverX ~]# wget http://instructor.example.com/pub/materials/use_policy.txt
[root@serverX ~]# cat  use_policy.txt > /etc/motd

3. 未授权用户不得重启或关闭机器， 包括通过图形化控制台
[root@serverX ~]# cp /etc/init/control-alt-delete.conf /etc/init/control-alt-delete.override
[root@serverX ~]# sed -ie 's#^exec .*#exec /bin/true#' /etc/init/control-alt-delete .override
[root@serverX ~]# gconftool-2 --direct --config-source xml:readwrite:/etc/gconf/ gconf.xml .defaults --type bool --set /apps/gdm/simple-greeter/disable_restart_buttons  true

4. 如使用 图形化控制台，不能显示用户列表
[root@serverX ~]# gconftool-2 --direct --config-source xml:readwrite:/etc/gconf/ gconf.xml.defaults --type bool --set /apps/gdm/simple-greeter/disable_user_list true

5. 管理员需要设置GRUB口令，虽然可以允许启动预先定义的操作系统，但不能在未输入口令时编辑启动命令行
[root@serverX ~]# grub-crypt
Password: redhat
Retype password: redhat
$6$17Pelrkwljhx17fk$kY1QRxEZUQzHbczOpUGI5B21WkadmAsayZMDFlOfJLknkYSQOqcwEQhiOpg6JGacE9uRAryZ.52oB76hrY9gNO
[root@serverX ~]# vim /etc/grub.conf
# Many lines of comments . . .
default=0
timeout=5
splashimage=(hd0,0)/grub/splash.xpm.gz
hiddenmenu
password --encrypted $6$17Pelrkwljhx17fk$kY1QRxEZUQzHbczOpUGI5B21WkadmAsayZMDFlOfJLknkYSQOqcwEQhiOpg6JGacE9uRAryZ.52oB76hrY9gNO
title Red Hat Enterprise Linux (2.6.32-358.e16.x86_64)
......

来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/24644775/viewspace-1254008/，如需转载，请注明出处，否则将追究法律责任。