CentOS6启动过程总结与GRUB问题修复
一、CentOS 6 的启动流程
第一步：加电自检(POST)
主要检查硬件设备是否存在并能正常运行，如：CPU、内存、硬盘、风扇、输入输出设备等。自检功能主要是通过B来实现的，BIOS程序是装载在一个硬件芯片CMOS上的，加电过程就是给CMOS通电，然后启动BIOS程序，BIOS程序会根据CMOS上面的一些配置信息区读取其他的硬件设备信息并检测其是否存在并能正常运行，之后进行硬件设备的初始化。
第二步：选择启动顺序，加载MBR
按照BIOS中设置的Boot Sequence查找Boot Loader程序所在的设备。Boot Loader是一个程序，它依赖于一个硬件之上，这个硬件就是硬盘，准确的说为第一个可以启动的硬盘的第一个扇区内，即MBR(Master Boot Record，主引导记录)。
Boot Loader的主要功能就是去识别、加载操作中的核心文件，并提交到内存中运行，进而来启动对应的操作系统。另一个主要功能是提供菜单信息(可以提供不同的启动项来加载不同的操作系统)，并将启动管理功能转交给其他的加载程序。
第三步：加载系统内核(Kernel)文件，执行系统初始化信息
Boot Loader程序读取操作系统的内核文件后，会将其解压后装载到内存当中，然后接管BIOS的工作开始测试并加载各个设备(CPU、硬盘、网卡等)。
因为内核文件(Kernel)通常是存放在系统上的/boot目录中，并且是以vmlinuz开头的文件，此时内存程序还没有加载到硬盘，因此无法读取系统上的内核文件，而如果先去加载硬盘则必须有硬盘的驱动程序，因此这将会产生一个先后顺序的问题，为了解决这个问题，采用GRUB启动管理程序来识别硬盘信息，RTUB程序的执行过程需要三个阶段，具体的执行过程将在下面的第二章节介绍。
第四步：启动第一个执行程序/sbin/init
在内核、硬件及驱动信息加载完毕后，内核会呼叫用户控件的第一个执行程序/sbin/init，init程序主要功能是准备软件运行环境，包括系统的主机名称、网络配置、文件系统格式等其他服务的启动管理。而这些所有的操作都是通过init的配置文件来定义的。
在CentOS 5 中 init 的配置文件为：/etc/inittab
在CentOS 6 中 init 的配置文件为：/etc/inittab，/etc/init/*.conf
在init的配置文件中有个一非常重要的配置项目，那就是默认的系统启动级别。启动级别是为系统维护的目的而设定的，其实现方式是关闭或启动对应级别下的服务。以下为init的7个运行级别：
0：halt，关机
1：Single user，单用户模式，此级别允许以root用户身份登录，而无需认证，相当于windows的安全模式
2：Multiuser，多用户模式，需要用户认证，会启动网络功能，但不会启动NFS
3：Full multiuser，完全多用户模式，文本界面
4：unused，预留级别，目前无特别的使用目的
5：X11，正常级别，也是完全多用户模式，图形界面
6：reboot，重启
通常使用较多的默认级别为3或5，服务器上一般默认使用3级别，不同级别之间是可以进行切换的，切换方式为：init [0-6]，可以使用 who -r或run_leave命令查看运行级别。
第五步：运行系统初始化脚本
根据 init 的配置文件，先获取默认的 runlevel，然后再执行 /etc/rc.d/rc.sysinit 脚本完成系统初始化。
系统初始化脚本所做的事情主要有：
1、设定主机名(读取/etc/sysconfig/network文件)
2、激活 SELinux 和 udev
3、打印文本欢迎信息
4、挂载所有定义在/etc/fstab文件中的文件系统
5、激活 swap 设备
6、检测跟文件系统，并实现以读写方式重新挂载
7、设置系统时钟
8、根据 /etc/sysctl.conf 文件设定内核参数的值
9、激活LVM和RAID设备
10、加载额外的设备驱动程序
11、清理操作
第六步：启动系统服务
按照默认级别的参数N，执行 /etc/rcN.d/ 目录下设定的关闭和启动相应的服务。
第七步：打印登录提示符
二、GRUB程序的三个阶段
stage1：运行Boot Loader主程序，这个程序必须要被安装在启动区(MBR)。因为MBR空间有限，因此在MBR当中仅安装Boot Loader的最小主程序，并没有安装Boot Loader的相关配置文件。
stage1_5：存放在MBR随后的扇区中，主要用于与stage2所在分区的文件系统进行交互。
stage2：通过Boot Loader加载所有配置文件及相关的环境参数信息，这些配置文件及相关的环境参数都存放于磁盘分区上的/boot目录下。
grup的配置文件路径为：/boot/grub/grub.conf，内容如下：
default：设定默认启动的内核和操作系统，如果同时安装了多个操作系统或内核，0表示定义的第一个title系统，1表示定义的第二个title系统，依次类推;
timeout：设定系统启动时选择操作系统菜单的等待时间，单位是秒(s);
splashimage：设定系统启动时grub菜单的背景图片。图片格式为xpm，14bits颜色，大小为640*480，需要gzip压缩;
hiddenmenu：隐藏选择菜单，默认情况下是不显示菜单信息，如果想要显示菜单，将该配置注释即可;
title：定义一个操作系统或系统内核，且包括下面内容：
root：指明引导当前操作系统或内核文件所在的分区;
kernel：指定文件路径、根文件系统所在设备，以及传递给内核的参数。由于启动过程中需要挂载跟目录，因此需要指定根目录所在的分区。内核参数 rhgb表示色彩显示，quiet表示静默模式加载内核;
initrd：指定用于辅助内核完成系统启动的ramdisk文件路径;
三、关于GRUB的调试
1、root用户密码
第一步：系统启动时按任意键进入GRUB菜单，动作一定要快，默认是5s的倒计时
如上图所示，可以使用上下键选择要启动的操作系统(这里只用一个);
按&e&可以对选择的项进行编辑;
按&a&可以对选择的项进行内核参数修改;
按&c&可以进入命令行模式;
第二步：根据提示，选择相应的菜单，然后按&a&，在原有内核参数的最后加上&1或s或S或single&的任意一个参数，表示进入单用户模式，然后按回车键启动系统
第三步：以单用户模式进入系统后，使用passwd命令修改root用户密码，修改完之后重启系统即可使用新的root用户密码登录系统。
2、为GRUB菜单设置保护密码
默认情况下进入GRUB菜单后不需要任何密码就可以进行编辑，相对来说是比较危险的，因此可以修改 grub.conf 配置文件为GRUB菜单设置密码保护，在 grub.conf 文件中的title字段上面新增一行pwssword PASSWD，password支持命令口令和口令，具体设置如下图所示：
md5加密口令的生成命令为：grub-md5-crypt
在grub.conf文件中新增password后，再次进入GRUB菜单时如果想要编辑则必须按&p&键，然后通过密码验证后才能编辑，如下图所示：
同理，在grub.conf 配置文件中的title内添加password，可以保护内核，即进入系统时需要输入密码验证后才能启动。
3、取消图形界面的启动，使用文本界面启动
系统默认的启动方式是图形界面启动，因此看不到系统的启动过程，可以通过修改 grub.conf 配置文件设置成文本界面启动，生产环境下也建议使用文本界面启动，因为这种启动方式可以看到整个过程，如果哪个服务在启动过程中出错可以及时发现。修改方法是把kernel参数中的rhgb和quiet删除。
4、如果/boot下的文件损坏或丢失的恢复方法
第一步：使用安装光盘进入救援模式，进入时需要根据提示手动选择语言、键盘等
加载救援模式的过程中会提示硬盘上的系统已经被找到并挂载到/mnt/sysimage下，因此进入救援模式后可以使用 chroot /mnt/sysimage 命令切换到硬盘上操作系统的根目录下，因为救援模式下提供的命令比较有限，好多命令都不支持。
如果进入到救援模式后，没有发现硬盘上的根文件系统，则需要使用相关命令查找并分析根文件系统所在硬盘分区位置，如果硬盘使用的是普通分区，则可以通过 blkid 命令和 fdisk -l 命令分析出根文件系统的分区位置，而如果硬盘使用的是LVM分区，则可以使用 lvscan 命令查看分区，并且需要使用 vgchange -ay 命令激活VG卷组。
分析出根文件系统所在分区后挂载根文件系统，然后检查并修改fstab文件，如果该文件丢失，则手动创建一份，按照相应格式在其中添加挂载根文件系统的条目，然后重启系统，直到能够自动检测出硬盘上的系统并挂载到/mnt/sysimage下为止。
第二步：进入到硬盘的根文件系统后，使用mount命令挂载光盘，比如将光盘挂载到/mnt/cdrom上：
第三步：使用rpm命令安装kernel包，安装时会提示kernel已安装，需要使用--force或--replacepkgs选项强制安装。安装完之后会在/boot目录下自动生成initramfs文件和vmlinuz文件
vmlinuz-2.6.32-642.el6.x86_64 和 initramfs-2.6.32-642.el6.x86_64.img 是系统启动时必要的两个文件，缺一不可。
vmlinuz-2.6.32-642.el6.x86_64：内核文件，如果只是该文件丢失，可以从光盘或者相同版本的操作系统上拷贝。
initramfs-2.6.32-642.el6.x86_64.img：虚拟文件系统，通过Boot Loader程序能够将其加载到内存中，然后这个文件会被解压缩并且在内存中模拟一个跟文件系统，这个跟文件系统能够提供一个可以运行的程序，通过该程序可以加载在启动过程中所需要的核心模块(RAID、LVM、SCSI等文件系统与磁盘的驱动程序)，加载完成之后，会协助内核重新呼叫/sbin/init来执行后续的正常启动。如果只是该文件丢失，可以使用 mkinitrd /boot/initramfs-`uname -r`.img `uname -r` 重新生成 。
第四步：使用 grub-install 命令修复grub，需要注意的是该命令需要指定/boot目录的父目录，如果/boot的父目录是根目录(/)，则可以省略 --root-directory=DIR 选项。该命令也可以修复/boot/grub下的文件
第五步：在/boot/grub下创建 grub.conf 配置文件，配置文件内容如下图所示
第六步：使用exit命令退出硬盘中的文件系统，再使用reboot命令重启系统
5、grub.conf文件损坏的修复
如果grub.conf文件损坏，则操作系统将不能正常启动，此时手中如果有安装光盘的话可以通过救援模式重新创建grub.conf文件，但如果没有安装光盘的话，可以通过以下方式修复：
第一步：如果grub.conf文件损坏，则系统系统时会自动进入grub的命令行模式，该模式下可以通过 help 命令查看帮助。使用root命令可以显示当前grub所在硬盘的分区位置;
第二步：使用 root 命令指定内核存放的位置;
第三步：使用 kernel 命令设置kernel文件路径及根文件系统所在设备，支持Tab命令补全;
第四步：使用 initrd 命令设置initramfs路径，支持Tab命令补全;
第五步：使用 boot 命令启动系统;
第六步：系统启动后手工重新编写 /boot/grub/grub.conf 配置文件。
四、在U盘上自制 Linux 系统
根据 CentOS 6 的启动过程，可以在U盘上自制一个定制版的Linux系统，首先需要划分出一个/boot分区和一个根(/)分区，其次需要安装grub，然后将内核文件和initramfs文件放入到U盘的/boot目录下，最后创建必要的配置文件，具体步骤如下：
第一步：使用 fdisk 命令为U盘创建/boot分区和根分区，/boot分区(/dev/sdb1)大小为100M，根分区(/dev/sdb2)大小为6G
第二步：格式化分区，将/boot分区(/dev/sdb1)和根分区(/dev/sdb2)都格式化成ext4格式
第三步：分别将U盘上的boot(/dev/sdb1)分区和根分区(/dev/sdb2)挂载到当前系统的/mnt/boot和/mnt/sysroot上
第四步：使用 grub-install 命令安装grub，注意需要指定所挂载U盘/boot分区的父目录为/mnt
第五步：在/mnt/boot/grub目录下创建grub.conf配置文件，该配置文件中需要在kernel参数配置项中关闭selinux，并指定init程序为/bin/bash
第六步：复制内核文件和initramfs文件到/mnt/boot目录下
第七步：在/mnt/sysroot目录下创建一级目录
第八步：在/mnt/sysroot/bin目录下创建fstab的自动挂载文件
第九步：复制bash命令及相关库文件，注意bash命令和库文件的路径一定要放对，可以使用which命令查看bash路径，使用ldd命令查看bash的依赖库。
第十步：参考第九步，根据需求复制相应的命令及库文件，可以使用脚本复制命令和库，脚本内容如下：
[root@localhost~]#catcopycmd.sh
#!/bin/bash
ch_root=&/mnt/sysroot&
[!-d$ch_root]&&mkdir$ch_root
bincopy(){
ifwhich$1&&/dev/then
localcmd_path=`which--skip-alias$1`
localbin_dir=`dirname$cmd_path`
[-d${ch_root}${bin_dir}]||mkdir-p${ch_root}${bin_dir}
[-f${ch_root}${cmd_path}]||cp-n$cmd_path${ch_root}${bin_dir}
echo&Commandnotfound.&
libcopy(){
locallib_list=$(ldd`which--skip-alias$1`|grep-Eo'/[^[:space:]]+')
forloopin$lib_do
locallib_dir=`dirname$loop`
[-d${ch_root}${lib_dir}]||mkdir-p${ch_root}${lib_dir}
[-f${ch_root}${loop}]||cp-n$loop${ch_root}${lib_dir}
read-p&Pleaseinputacommand:&command
while[&$command&!=&quit&];do
ifbincopy$then
libcopy$command
read-p&Pleaseinputacommandorquit:&commandcentos6.7启动加密没有办法解除的问题【linux吧】_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0成为超级会员，使用一键签到本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：179,518贴子：
centos6.7启动加密没有办法解除的问题收藏
安装linux，选项有个系统加密，我以为是grub加密的图形化，还在感叹，centos进步真快啊，结果安装完，发现是在进入系统加载之前要输入密码才能加载，而且找不到修改密码和删除密码的办法，有人研究过这个问题吗？一起探讨一二。
网堤安全DDoS云防护，专业DDoS、CC防御！
我只是试试我有没有回复的权限
登录百度帐号推荐应用欢迎访问蓝队云一站式平台！
关注蓝队云
您的位置：
如何设置centos6.x密码
发布时间：&&&&&浏览量：215人
上一篇：下一篇：
最新发布的内容
大家感兴趣的内容
服务时间：9:00 - 24:00
选择对应客服在线沟通：
您可能遇到了下面的问题：
400专线7x24小时全时响应
技术在线支持
服务时间：全天24小时
选择对应技术在线沟通：
您可能遇到了下面的问题：
400专线7x24小时全时响应
网站ICP备案咨询
服务时间：9:00 - 17:30
选择对应客服在线沟通：
您可能遇到了下面的问题：
400专线7x24小时全时响应from &/os/545.html
在使用linux的过程中有时候会忘记root用户的密码（尤其是进行交接而文档内容不全的时候），这个时候我们就可以进入单用户模式来重置root用户密码。下面来讲解重置root密码的方式，也可以说是root密码的方式。
环境：centos6.5 mini
1、 重启服务器，在读秒的时候按任意键，就会出现如下界面
在此界面中按下键盘中的‘e’，从而进入grub模式
2、在1中按下e就会进入到如下界面。
将光标移动到kernel那一行，然后再一次按‘e’，进入kernel该行的编辑界面
3、这就是kernel编辑界面
4、在kernel编辑界面，按一下空格键，然后在后面输入single，同时按下回车键enter退出kernel编辑界面
5、退出kernel界面后会回到grub模式界面，在此界面再次将光标移动到kernel那一行，然后按下‘b’来启动系统
6、这个时候系统就会起来到单用户模式，不需要输入任何密码就可以直接进入系统
7、在单用户模式下，我们就可以直接修改密码
8、修改完毕，重启服务器即进入正常模式
本文已收录于以下专栏：
相关文章推荐
Centos  6.5  密码破解
1、 重启服务器，在读秒的时候按任意键，就会出现如下界面
在此界面中按下键盘中的‘e’，从而进入grub模式
2、在1中按下e就会进入到如下界面。
将光标移动...
在使用linux的过程中有时候会忘记root用户的密码（尤其是进行交接而文档内容不全的时候），这个时候我们就可以进入单用户模式来重置root用户密码。下面来讲解重置root密码的方式，也可以说是破解r...
第一步：启动系统时，在进入系统前，读秒的时候，按任意键出现这个界面，然后按e键 进入到下面界面
第二步：选择kernel选项，再按e 进入到下面界面
第三步：在quiet后面加上s...
在使用linux的过程中有时候会忘记root用户的密码（尤其是进行交接而文档内容不全的时候），这个时候我们就可以进入单用户模式来重置root用户密码。下面来讲解重置root密码的方式，也可以说是破解r...
开机启动系统，在进入系统之前按键盘上面的Esc键，会进入下面的界面
按键盘上的e键，出现下面界面
用键盘上的方向键移动光标到第二项，然后再按键盘上面的e，会出现下面的界面
...
演示是Windows下的centos6.3虚拟机
1.在开机启动的时候按键盘上的“E”键会进入如下界面。
注：本机是新装的系统，没有升级之类的操作，故选项只有一个，可能是因为只有一个选...
他的最新文章
讲师：王哲涵
讲师：韦玮
您举报文章：
举报原因：
原文地址：
原因补充：
(最多只允许输入30个字)六招轻松搞定你的CentOS系统安全加固
我的图书馆
六招轻松搞定你的CentOS系统安全加固
&Redhat是目前企业中用的最多的一类Linux，而目前针对Redhat攻击的黑客也越来越多了。我们要如何为这类服务器做好安全加固工作呢？
一.& 账户安全
1.1 锁定系统中多余的自建帐号
#cat /etc/passwd
#cat /etc/shadow
查看账户、口令文件，与系统管理员确认不必要的账号。对于一些保留的系统伪帐户如：bin, sys，adm，uucp，lp, nuucp，hpdb, www, daemon等可根据需要锁定登陆。
备份方法：
#cp -p /etc/passwd /etc/passwd_bak
#cp -p /etc/shadow /etc/shadow_bak
使用命令passwd -l &用户名&锁定不必要的账号。
使用命令passwd -u &用户名&解锁需要恢复的账号。
需要与管理员确认此项操作不会影响到业务系统的登录
1.2设置系统口令策略
检查方法：
#cat /etc/login.defs|grep PASS查看密码策略设置
备份方法：
cp -p /etc/login.defs /etc/login.defs_bak
加固方法：
#vi /etc/login.defs修改配置文件
PASS_MAX_DAYS&& 90&&&&&&& #新建用户的密码最长使用天数
PASS_MIN_DAYS&& 0&&& &&&& #新建用户的密码最短使用天数
PASS_WARN_AGE&& 7&&&&&&&& #新建用户的密码到期提前提醒天数
PASS_MIN_LEN&&& 9&&&&&&&& #最小密码长度9
风险：无可见风险
1.3禁用root之外的超级用户
检查方法：
#cat /etc/passwd 查看口令文件，口令文件格式如下：
login_name：password：user_ID：group_ID：comment：home_dir：command
login_name：用户名
password：加密后的用户密码
user_ID：用户ID，（1 ~ 6000）&& 若用户ID=0，则该用户拥有超级用户的权限。查看此处是否有多个ID=0。
group_ID：用户组ID
comment：用户全名或其它注释信息
home_dir：用户根目录
command：用户登录后的执行命令
备份方法：
#cp -p /etc/passwd /etc/passwd_bak
加固方法：
使用命令passwd -l &用户名&锁定不必要的超级账户。
使用命令passwd -u &用户名&解锁需要恢复的超级账户。
风险：需要与管理员确认此超级用户的用途。
1.4 限制能够su为root的用户
检查方法：
#cat /etc/pam.d/su,查看是否有auth required /lib/security/pam_wheel.so这样的配置条目
备份方法：#cp -p /etc/pam.d /etc/pam.d_bak
加固方法：
#vi /etc/pam.d/su
在头部添加：
auth required /lib/security/pam_wheel.so group=wheel
这样，只有wheel组的用户可以su到root
#usermod -G10 test 将test用户加入到wheel组
风险：需要PAM包的支持；对pam文件的修改应仔细检查，一旦出现错误会导致无法登陆；和管理员确认哪些用户需要su。
当系统验证出现问题时，首先应当检查/var/log/messages或者/var/log/secure中的输出信息，根据这些信息判断用户账号的有效
性。如果是因为PAM验证故障，而引起root也无法登录，只能使用single user或者rescue模式进行排错。
1.5& 检查shadow中空口令帐号
检查方法：
#awk -F: '($2 == "") { print $1 }' /etc/shadow
备份方法：cp -p /etc/shadow /etc/shadow_bak
加固方法：对空口令账号进行锁定，或要求增加密码
风险：要确认空口令账户是否和应用关联，增加密码是否会引起应用无法连接。
二、最小化服务
2.1 停止或禁用与承载业务无关的服务
检查方法：
#who –r或runlevel&&& 查看当前init级别
#chkconfig --list&&&& 查看所有服务的状态
备份方法：记录需要关闭服务的名称
加固方法：
#chkconfig --level &服务名& on|off|reset&&& 设置服务在个init级别下开机是否启动
风险：某些应用需要特定服务，需要与管理员确认。
三、数据访问控制
3.1 设置合理的初始文件权限
检查方法：
#cat /etc/profile&&& 查看umask的值
备份方法：
#cp -p /etc/profile /etc/profile_bak
加固方法：
#vi /etc/profile
风险：会修改新建文件的默认权限，如果该服务器是WEB应用，则此项谨慎修改。
四、网络访问控制
4.1 使用SSH进行管理
检查方法：
#ps –aef | grep sshd&&& 查看有无此服务
备份方法：
加固方法：
使用命令开启ssh服务
#service sshd start
风险：改变管理员的使用习惯
4.2& 设置访问控制策略限制能够管理本机的IP地址
检查方法：
#cat /etc/ssh/sshd_config& 查看有无AllowUsers的语句
备份方法：
#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak
加固方法：
#vi /etc/ssh/sshd_config，添加以下语句
AllowUsers& *@10.138.*.*&&&& 此句意为：仅允许10.138.0.0/16网段所有用户通过ssh访问
保存后重启ssh服务
#service sshd restart
风险：需要和管理员确认能够管理的IP段
4.3 禁止root用户远程登陆
检查方法：
#cat /etc/ssh/sshd_config& 查看PermitRootLogin是否为no
备份方法：
#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak
加固方法：
#vi /etc/ssh/sshd_config
PermitRootLogin no
保存后重启ssh服务
service sshd restart
风险：root用户无法直接远程登录，需要用普通账号登陆后su
4.4 限定信任主机
检查方法：
#cat /etc/hosts.equiv 查看其中的主机
#cat /$HOME/.rhosts&& 查看其中的主机
备份方法：
#cp -p /etc/hosts.equiv /etc/hosts.equiv_bak
#cp -p /$HOME/.rhosts /$HOME/.rhosts_bak
加固方法：
#vi /etc/hosts.equiv 删除其中不必要的主机
#vi /$HOME/.rhosts&& 删除其中不必要的主机
风险：在多机互备的环境中，需要保留其他主机的IP可信任。
4.5& 屏蔽登录banner信息
检查方法：
#cat /etc/ssh/sshd_config&&& 查看文件中是否存在Banner字段，或banner字段为NONE
#cat /etc/motd&&&&&&&&&&&&&& 查看文件内容，该处内容将作为banner信息显示给登录用户。
备份方法：
#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak
#cp -p /etc/motd /etc/motd_bak
加固方法：
#vi /etc/ssh/sshd_config&&&
banner NONE
#vi /etc/motd
删除全部内容或更新成自己想要添加的内容
风险：无可见风险
4.6 防止误使用Ctrl+Alt+Del重启系统
检查方法：
#cat /etc/inittab|grep ctrlaltdel&&&& 查看输入行是否被注释
备份方法：
#cp -p /etc/inittab /etc/inittab_bak
加固方法：
#vi /etc/inittab
在行开头添加注释符号“#”
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now
风险：无可见风险
五、用户鉴别
5.1& 设置帐户锁定登录失败锁定次数、锁定时间
检查方法：
#cat /etc/pam.d/system-auth&& 查看有无auth required pam_tally.so条目的设置
备份方法：
#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak
加固方法：
#vi /etc/pam.d/system-auth
auth required pam_tally.so onerr=fail deny=6 unlock_time=300& 设置为密码连续错误6次锁定，锁定时间300秒
解锁用户 faillog& -u& &用户名&& -r
风险：需要PAM包的支持；对pam文件的修改应仔细检查，一旦出现错误会导致无法登陆；
当系统验证出现问题时，首先应当检查/var/log/messages或者/var/log/secure中的输出信息，根据这些信息判断用户账号的有效
5.2 修改帐户TMOUT值，设置自动注销时间
检查方法：
#cat /etc/profile&&& 查看有无TMOUT的设置
备份方法：
#cp -p /etc/profile /etc/profile_bak
加固方法：
#vi /etc/profile
TMOUT=600&&& 无操作600秒后自动退出
风险：无可见风险
5.3 Grub/Lilo密码
检查方法：
#cat /etc/grub.conf|grep password&&& 查看grub是否设置密码
#cat /etc/lilo.conf|grep password&&& 查看lilo是否设置密码
备份方法：
#cp -p /etc/grub.conf /etc/grub.conf_bak
#cp -p /etc/lilo.conf /etc/lilo.conf_bak
加固方法：为grub或lilo设置密码
风险：etc/grub.conf通常会链接到/boot/grub/grub.conf
5.4 限制FTP登录
检查方法：
#cat /etc/ftpusers&&& 确认是否包含用户名，这些用户名不允许登录FTP服务
备份方法：
#cp -p /etc/ftpusers /etc/ftpusers_bak
加固方法：
#vi /etc/ftpusers&&& 添加行，每行包含一个用户名，添加的用户将被禁止登录FTP服务
风险：无可见风险
5.5 设置Bash保留历史命令的条数
检查方法：
#cat /etc/profile|grep HISTSIZE=
#cat /etc/profile|grep HISTFILESIZE=&&& 查看保留历史命令的条数
备份方法：
#cp -p /etc/profile /etc/profile_bak
加固方法：
#vi /etc/profile
修改HISTSIZE=5和HISTFILESIZE=5即保留最新执行的5条命令
风险：无可见风险
六、审计策略
6.1 配置系统日志策略配置文件
检查方法：
#ps –aef | grep syslog&& 确认syslog是否启用
#cat /etc/syslog.conf&&&& 查看syslogd的配置，并确认日志文件是否存在
系统日志（默认）/var/log/messages
cron日志（默认）/var/log/cron
安全日志（默认）/var/log/secure
备份方法：
#cp -p /etc/syslog.conf
6.2 为审计产生的数据分配合理的存储空间和存储时间
检查方法：
#cat /etc/logrotate.conf&&& 查看系统轮询配置，有无
# rotate log files weekly
# keep 4 weeks worth of backlogs
rotate 4& 的配置
备份方法：
#cp -p /etc/logrotate.conf /etc/logrotate.conf_bak
加固方法：
#vi /etc/logrotate.d/syslog
rotate 4&&&& 日志文件保存个数为4，当第5个产生后，删除最早的日志
size 100k&&& 每个日志的大小
加固后应类似如下内容：
/var/log/syslog/*_log {
notifempty
size 100k # log files will be rotated when they grow bigger that 100k.
rotate 5& # will keep the logs for 5 weeks.
compress& # log files will be compressed.
sharedscripts
postrotate
/etc/init.d/syslog condrestart &/dev/null 2&1 || true
风险：无可见风险
TA的最新馆藏
喜欢该文的人也喜欢}