# vim /etc/zypp/zypp.conf添加以下内容:......
gpgcheck=0[步骤] openSUSE & SLES PAM 文件的手动配置 (让手动设置密码的复杂度或输错次数等策略不被系统刷新)
正文:
步骤一:理解 PAM 文件被系统自动刷新的原理
openSUSE & SLES 的 PAM 文件默认是一些软链接,指向另一个文件:
/etc/pam.d/common-account --> /etc/pam.d/common-account-pc
/etc/pam.d/common-auth --> /etc/pam.d/common-auth-pc
/etc/pam.d/common-password --> /etc/pam.d/common-password-pc
/etc/pam.d/common-session --> /etc/pam.d/common-session-pc而当 openSUSE & SLES 升级 pam-config 软件包时可能会自动刷新以下文件:
/etc/pam.d/common-account-pc
/etc/pam.d/common-auth-pc
/etc/pam.d/common-password-pc
/etc/pam.d/common-session-pc所以,如果 openSUSE & SLES 的 PAM 文件是一些单独的文件,不指向后缀以 -pc 结尾的文件的软链接,那么里面的内容就不会被自动刷新
步骤二:发现本地 PAM 文件是软链接
# ll /etc/pam.d/common-account
# ll /etc/pam.d/common-auth
# ll /etc/pam.d/common-password
# ll /etc/pam.d/common-session步骤三:删除是软链接的 PAM 文件
# rm /etc/pam.d/common-{account,auth,password,session}步骤四:创建新的 PAM 文件
# cp /etc/pam.d/common-account-pc /etc/pam.d/common-account
# cp /etc/pam.d/common-auth-pc /etc/pam.d/common-auth
# cp /etc/pam.d/common-password-pc /etc/pam.d/common-password
# cp /etc/pam.d/common-session-pc /etc/pam.d/common-session
步骤五:确认本地 PAM 文件是软链接
# ll /etc/pam.d/common-account
# ll /etc/pam.d/common-auth
# ll /etc/pam.d/common-password
# ll /etc/pam.d/common-session步骤六:设置本地 PAM 文件
(步骤略)
参考文献:
https://www.suse.com/support/kb/doc/?id=000018934
[步骤] RHEL 后台加密方式的设置 (SSSD 域账号服务等客户端加密方式的设置)
步骤一:查看 RHEL 现有的后台加密方式
# cat /etc/crypto-policies/back-ends/krb5.config
aes128-cts-hmac-sha256-128 aes256-cts-hmac-sha384-192(补充:从这里的输出结果可以看出,目前使用的后台加密方式有 aes128-cts-hmac-sha256-128 aes256-cts-hmac-sha384-192)
步骤二:修改 RHEL 的后台机密方式
# vi /etc/crypto-policies/back-ends/krb5.config[步骤] Linux 让 auditd 对所有进程进行监控的设置 (让 auditd 日志进程最早被启动)
正文:
步骤一:让 auditd 日志进程最早被启动的目的
auditd 只能监控比它后启动的进程,恶意软件如果比它先启动则无法被其监控
步骤二:让 auditd 日志进程最早被启动
2.1 修改 /etc/default/grub 文件
在这一行里:
GRUB_CMDLINE_LINUX="......"添加:
GRUB_CMDLINE_LINUX="...... audit=1"2.2 使刚刚的修改生效
# grub2-mkconfig -o /boot/grub2/grub.cfg参考文献:
https://access.redhat.com/solutions/971883
[步骤] Linux SSH 只影响部分客户端访问的设置
案例一:只让某些客户端必须使用指定的算法 (algorithm) (KexAlgorithms 参数) 才能访问
# vim /etc/ssh/sshd_config添加以下内容:
Host 192.168.0.1,192.168.0.2,192.168.0.3
KexAlgorithms ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521(补充:这里以让 IP 地址为 192.168.0.1、192.168.0.2 和 192.168.0.3 的客户端只能使用 ecdh-sha2-nistp256、ecdh-sha2-nistp384 和 ecdh-sha2-nistp521 算法 (algorithm) 才能访问为例)
案例二:让所有客户端必须使用指定的算法 (algorithm) (KexAlgorithms 参数) 才能访问
# vim /etc/ssh/sshd_config添加以下内容:
Host *
KexAlgorithms ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256(补充:这里以让所有客户端只能使用 ecdh-sha2-nistp256、ecdh-sha2-nistp384 和 ecdh-sha2-nistp521 算法 (algorithm) 才能访问为例)