授权认证

• 授权认证
  • 设置网络远程登录的警告信息
  • 禁止通过"Ctrl+Alt+Del"重启系统
  • 设置终端的自动退出时间
  • 设置用户的默认umask值为0077
  • 设置GRUB2加密口令
  • 安全单用户模式
  • 禁止交互式启动

设置网络远程登录的警告信息

说明

设置网络远程登录的警告信息，用于在登录进入系统之前向用户提示警告信息，明示非法侵入系统可能受到的惩罚，吓阻潜在的攻击者。同时也可以隐藏系统架构及其他系统信息，避免招致对系统的目标性攻击。

实现

该设置可以通过修改/etc/issue.net文件的内容实现。将/etc/issue.net文件原有内容替换为如下信息（openEuler默认已设置）：

Authorized users only. All activities may be monitored and reported. 

禁止通过"Ctrl+Alt+Del"重启系统

说明

操作系统默认能够通过“Ctrl+Alt+Del”进行重启，禁止该项特性可以防止因为误操作而导致数据丢失。

实现

禁止通过“Ctrl+Alt+Del”重启系统的操作步骤如下：

1. 删除两个ctrl-alt-del.target文件，参考命令如下：

   rm -f /etc/systemd/system/ctrl-alt-del.target
   rm -f /usr/lib/systemd/system/ctrl-alt-del.target
   

2. 修改/etc/systemd/system.conf文件，将#CtrlAltDelBurstAction=reboot-force修改为CtrlAltDelBurstAction=none。

3. 使用 root 或具有 sudo 权限的用户重启systemd，使修改生效，参考命令如下：

   systemctl daemon-reexec
   

   须知：
   使用 systemctl daemon-reexec 命令可能会导致短暂的系统服务不可用或重启。

设置终端的自动退出时间

说明

无人看管的终端容易被侦听或被攻击，可能会危及系统安全。因此需要终端在停止运行一段时间后能够自动退出。

实现

自动退出时间由/etc/profile文件的TMOUT字段（单位为秒）控制，在/etc/profile的尾部添加如下配置：

export TMOUT=300

设置用户的默认umask值为0077

说明

umask值用于为用户新创建的文件和目录设置缺省权限。如果umask的值设置过小，会使群组用户或其他用户的权限过大，给系统带来安全威胁。因此设置所有用户默认的umask值为0077，即用户创建的目录默认权限为700，文件的默认权限为600。umask值代表的是权限的“补码”，umask值和权限的换算方法请参见umask值含义。

说明：
openEuler默认已设置用户的默认umask值为0022。

实现

1. 分别在/etc/bashrc文件和/etc/profile.d/目录下的所有文件中加入“umask 0077”。

   echo "umask 0077" >> $FILE
   

   说明：
   $FILE 为具体的文件名，例如：echo "umask 0077" >> /etc/bashrc

2. 设置/etc/bashrc文件和/etc/profile.d/目录下所有文件的属主为root，群组为root。

   chown root.root $FILE
   

   说明：
   $FILE 为具体的文件名，例如：chown root.root /etc/bashrc

设置GRUB2加密口令

说明

GRUB是GRand Unified Bootloader的缩写，它是一个操作系统启动管理器，用来引导不同系统（如Windows、Linux），GRUB2是GRUB的升级版。

系统启动时，可以通过GRUB2界面修改系统的启动参数。为了确保系统的启动参数不被任意修改，需要对GRUB2界面进行加密，仅在输入正确的GRUB2口令时才能修改启动参数。

说明：
GRUB2默认设置的口令为openEuler#12，建议用户首次登录时修改默认密码并定期更新，避免密码泄露后，启动选项被篡改，导致系统启动异常。

实现

1. 使用grub2-mkpasswd-pbkdf2命令生成加密的口令：

   说明：
   GRUB2加密算法使用PBKDF2。

   # grub2-mkpasswd-pbkdf2
   Enter password: 
   Reenter password: 
   PBKDF2 hash of your password is 
   grub.pbkdf2.sha512.10000.5A45748D892672FDA02DD3B6F7AE390AC6E6D532A600D4AC477D25C7D087644697D8A0894DFED9D86DC2A27F4E01D925C46417A225FC099C12DBD3D7D49A7425.2BD2F5BF4907DCC389CC5D165DB85CC3E2C94C8F9A30B01DACAA9CD552B731BA1DD3B7CC2C765704D55B8CD962D2AEF19A753CBE9B8464E2B1EB39A3BB4EAB08
   

   说明：
   在Enter password和Reenter password输入相同的口令。
   grub.pbkdf2.sha512.10000.5A45748D892672FDA02DD3B6F7AE390AC6E6D532A600D4AC477D25C7D087644697D8A0894DFED9D86DC2A27F4E01D925C46417A225FC099C12DBD3D7D49A7425.2BD2F5BF4907DCC389CC5D165DB85CC3E2C94C8F9A30B01DACAA9CD552B731BA1DD3B7CC2C765704D55B8CD962D2AEF19A753CBE9B8464E2B1EB39A3BB4EAB08为openEuler#12经过grub2-mkpasswd-pbkdf2加密后的输出，每次输出的密文不同。

2. 使用vi工具打开/boot/efi/EFI/openEuler/grub.cfg的开始位置追加如下字段：

   set superusers="root"
   password_pbkdf2 root grub.pbkdf2.sha512.10000.5A45748D892672FDA02DD3B6F7AE390AC6E6D532A600D4AC477D25C7D087644697D8A0894DFED9D86DC2A27F4E01D925C46417A225FC099C12DBD3D7D49A7425.2BD2F5BF4907DCC389CC5D165DB85CC3E2C94C8F9A30B01DACAA9CD552B731BA1DD3B7CC2C765704D55B8CD962D2AEF19A753CBE9B8464E2B1EB39A3BB4EAB08
   

   说明：

   • 不同模式下grub.cfg文件所在路径不同：x86架构的UEFI模式下路径为/boot/efi/EFI/openEuler/grub.cfg，legacy BIOS模式下路径为/boot/grub2/grub.cfg；aarch64架构下路径为/boot/efi/EFI/openEuler/grub.cfg。
   • superusers字段用于设置GRUB2的超级管理员的账户名。
   • password_pbkdf2字段后的参数，第1个参数为GRUB2的账户名，第2个为该账户的加密口令。

安全单用户模式

说明

单用户模式是以root权限进入系统，如不设置密码，将存在较大安全隐患。

实现

该设置可以通过修改/etc/sysconfig/init文件内容实现。将SINGLE选项配置为SINGLE=/sbin/sulogin。

禁止交互式启动

说明

使用交互式引导，控制台用户可以禁用审计、防火墙或其他服务，削弱了系统安全性。用户可以禁止使用交互式引导，提升安全性。openEuler默认已禁止。

实现

该设置可以通过修改/etc/sysconfig/init文件内容实现。将PROMPT选项配置为PROMPT=no。