http://book.51cto.com/art/201409/452382.htm
Linux提供了各种不同角色的系统账号,在系统安装完成后,默认会安装很多不必要的用户和用户组,如果不需要某些用户或者用户组,应立即删除它们,因为账户越多,系统就越不安全,从而很可能被黑客利用,威胁服务器的安全。
Linux系统中可以删除的默认用户和用户组大致如下:
可删除的用户,如adm、lp、sync、shutdown、halt、news、uucp、operator、games、gopher等。
可删除的用户组,如adm、lp、news、uucp、games、dip、pppusers、popusers、slipusers等。
删除的方法很简单,下面以删除games用户和用户组为例介绍具体的操作。
删除系统不必要的用户使用下面命令:
- [root@localhost ~]# userdel games
删除系统不必要的用户组使用如下命令:
- [root@localhost ~]# groupdel games
有些时候,某些用户仅仅用作进程调用或者用户组调用,并不需要登录功能,此时可以禁止这些用户登录系统的功能,例如要禁止nagios用户的登录功能,可以执行如下命令:
- [root@localhost ~]# usermod -s /sbin/nologin nagios
其实要删除哪些用户和用户组,并没有固定要求,可以根据服务器的用途来决定,如果服务器是用于Web应用的,那么系统默认的apache用户和用户组就无需删除;而如果服务器是用于数据库应用的,那么建议删除系统默认的apache用户和用户组。
1.1.2 关闭系统不需要的服务
在安装完成后,Linux绑定了很多没用的服务,这些服务默认都是自动启动的。对于服务器来说,运行的服务越多,系统就越不安全,运行的服务越少,系统安全性就越高,因此关闭一些不需要的服务,对系统安全有很大的帮助。
具体关闭哪些服务,要根据服务器的用途而定,一般情况下,只要系统本身用不到的服务都认为是不必要的服务,例如某台Linux服务器用于WWW应用,那么除了httpd服务和系统运行是必需的服务外,其他服务都可以关闭。下面这些服务一般情况下是不需要的,可以选择关闭:
anacron、auditd、autofs、avahi-daemon、avahi-dnsconfd、bluetooth、cpuspeed、firstboot、gpm、haldaemon、hidd、ip6tables、ipsec、isdn、lpd、mcstrans、messagebus、netfs、nfs、nfslock、nscd、pcscd portmap、readahead_early、restorecond、rpcgssd、rpcidmapd、rstatd、sendmail、setroubleshoot、yppasswdd ypserv
关闭服务自动启动的方法很简单,可以通过chkconfig命令实现。例如,要关闭bluetooth服务,执行下面命令即可:
- chkconfig --level 345 bluetooth off
对所有需要关闭的服务都执行上面的操作后,重启服务器即可。
为了系统能够正常稳定运行,建议启动的系统运行必需的服务如表1-1所示。
表1-1 系统运行必需的服务
(续)