系统更新安全

# 确认Linux发行版
cat /etc/redhat-release
# 配置epel源
# 使用yum update更新系统时不升级内核
# 升级内核后可能导致服务器不能正常启动，建议不要随便升级内核
mkdir -p /var/.bak/
# 欲修改，先备份
cp /etc/yum.conf /var/.bak/yum.conf.`date +%F`.bak
cd /var/.bak
touch readme.md
# 备注修改的内容
vim readme.md
vim /etc/yum.conf
# 在[main]段后追加一行
exclude=kernel*
# 查看内核
uname -a
# 关闭自动下载
systemctl start crond
yum -y install cronie
yum -y install yum-cron
systemctl start yum-cron
vim /etc/yum/yum-cron.conf
# 修改为no
updatemessages = no
download_updates = no

账号的基本安全

# 注释系统不需要的用户和用户组（不要删除）
最小的权限+最少的服务=最大的安全
cp /etc/passwd /var/.bak/passwd.`date +%F`.bak
# adm、lp、sync、shutdown、halt、operator、games、ftp
cp /etc/group /var/.bak/group.`date +%F`.bak
# adm，lp，floppy，games，ftp

# 将非登录用户的shell设为/sbin/nologin
usermod -s /sbin/nologin test
tail -2 /etc/passwd
# 锁定一段时间不使用的账号
usermod -L test
# 口令前加！，变无法登录
# 其实可以注释掉

# 给账号、组账号、账号口令文件加上不可更改属性（加锁）
chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow
# 查看文件属性
lsattr /etc/passwd /etc/shadow /etc/group /etc/gshadow
# 解锁
chattr -i
# 解锁后，可添加 

# 账号口令安全
vim /etc/login.defs
# 密码使用的最长天数
PASS_MAX_DAYS   90
# 密码最短使用天数
PASS_MIN_DAYS   0
# 密码最短长度
PASS_MIN_LEN    8
# 改换口令提醒天数
PASS_WARN_AGE   7
# 修改已存在账号的密码有效期
chage -M 30 test
# 强制在下次登录时修改密码
chage -d 0 test
# 减少记录的命令条数
vim /etc/profile
HISTSIZE=50

vim ~/.bash_logout
# 添加下边两行
history -c
clear

# 终端自动注销
vim ~/.bash_profile
export TMOUT=600