Centos 7.X系统用户账号和环境安全加固

1. 清除了operator、lp、shutdown、halt、games、gopher 帐号 删除的用户组有： lp、uucp、games、dip 其它系统伪帐号均处于锁定SHELL登录的状态
2. 验证是否有账号存在空口令的情况: awk -F: '($2 == "") { print $1 }' /etc/shadow
3. 检查除了root以外是否还有其它账号的UID为0:
　　awk -F: '($3 == 0) { print $1 }' /etc/passwd(任何UID为0的账号在系统上都具有超级用户权限.)
4. 检查root用户的$PATH中是否有’.’或者所有用户/组用户可写的目录(超级用户的$PATH设置中如果存在这些目录可能会导致超级用户误执行一个特洛伊木马)
5. 用户的home目录许可权限设置为700 (用户home目录的许可权限限制不严可能会导致恶意用户读/修改/删除其它用户的数据或取得其它用户的系统权限 )
6. 是否有用户的点文件是所有用户可读写的: for dir in \
　　`awk -F: '($3 >= 500) { print $6 }' /etc/passwd` do
　　for file in $dir/.[A-Za-z0-9]* do
　　if [ -f $file ]; then chmod o-w $file fi done done(Unix/Linux下通常以”.”开头的文件是用户的配置文件,如果存在所有用户可读/写的配置文件可能会使恶意用户能读/写其它用户的数据或取得其它用户的系统权限)
7. 为用户设置合适的缺省umask值:
　　cd /etc
　　for file in profile csh.login csh.cshrc bashrc do
　　if [ `grep -c umask $file` -eq 0 ]; then
　　echo "umask 022" >> $file
　　fi
　　chown root:root $file
　　chmod 444 $file
　　done
　　(为用户设置缺省的umask值有助于防止用户建立所有用户可写的文件而危及用户的数据).
8. 设备系统口令策略：修改/etc/login.defs文件 将PASS_MIN_LEN最小密码长度设置为12位。
9. 限制能够su为root 的用户：#vi /