一、账号
（1）应按照不同的用户分配不同的账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。
为用户创建账号：
#useradd username  #创建账号
#passwd username   #设置密码
（2）使用PAM禁止任何人su为root

编辑su文件(vi /etc/pam.d/su)，在开头添加下面两行： auth sufficient /lib/security/pam_rootok.so auth required /lib/security/pam_wheel.so group=wheel 这表明只有wheel组的成员可以使用su命令成为root用户。你可以把用户添加到wheel组，以使它可以使用su命令成为root用户。
二、口令
（1）对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少3类。
vi /etc/login.defs ，修改设置如下
PASS_MIN_LEN=8 #设定最小用户密码长度为8位
PASS_MAX_DAYS=90   #设定口令的生存期不长于90天
Linux用户密码的复杂度可以通过pam_cracklib module或pam_passwdqc module进行设置

三、授权
（1）控制用户缺省访问权限，当在创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。
设置默认权限：
Vi /etc/login.defs 在末尾增加umask 027，将缺省访问权限设置为750

（2）如果需要启用 FTP 服务，控制FTP 进程缺省访问权限，当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。
打开/etc/vsftpd/chroot_list 文件，将需要限制的用户名加入到文件中。
四、远程登陆
（1）限制具备超级管理员权限的用户远程登录。
编辑/etc/passwd，帐号信息的shell 为/sbin/nologin 的为禁止远程登录，如要允许，则改成可以登录的shell 即可，如/bin/bash，如果限制 root 从远程ssh 登录，修改/etc/ssh/sshd_config 文件，将PermitRootLogin yes 改为PermitRootLogin no，重启sshd 服务。

五、日志
（1）启用 syslog 系统日志审计功能
查看文件cat  /etc/syslog.conf 查看是否有#authpriv.* /var/log/secure,将 authpirv 设备的任何级别的信息记录到/var/log/secure 文件
六、登陆超时时间设置
（1）对于具备字符交互界面的设备，配置定时帐户自动登出
通过修改账户中“TMOUT”参数，可以实现此功能。TMOUT 按秒计算。编辑profile 文件（vi /etc/profile），在“HISTFILESIZE=”后面加入下面这行：建议 TMOUT=300（可根据情况设定）

一、账号
（1）应按照不同的用户分配不同的账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。
为用户创建账号：
#useradd username  #创建账号
#passwd username   #设置密码
（2）使用PAM禁止任何人su为root

编辑su文件(vi /etc/pam.d/su)，在开头添加下面两行： auth sufficient /lib/security/pam_rootok.so auth required /lib/security/pam_wheel.so group=wheel 这表明只有wheel组的成员可以使用su命令成为root用户。你可以把用户添加到wheel组，以使它可以使用su命令成为root用户。
二、口令
（1）对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少3类。
vi /etc/login.defs ，修改设置如下
PASS_MIN_LEN=8 #设定最小用户密码长度为8位
PASS_MAX_DAYS=90   #设定口令的生存期不长于90天
Linux用户密码的复杂度可以通过pam_cracklib module或pam_passwdqc module进行设置

三、授权
（1）控制用户缺省访问权限，当在创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制。
设置默认权限：
Vi /etc/login.defs 在末尾增加umask 027，将缺省访问权限设置为750

（2）如果需要启用 FTP 服务，控制FTP 进程缺省访问权限，当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限。
打开/etc/vsftpd/chroot_list 文件，将需要限制的用户名加入到文件中。
四、远程登陆
（1）限制具备超级管理员权限的用户远程登录。
编辑/etc/passwd，帐号信息的shell 为/sbin/nologin 的为禁止远程登录，如要允许，则改成可以登录的shell 即可，如/bin/bash，如果限制 root 从远程ssh 登录，修改/etc/ssh/sshd_config 文件，将PermitRootLogin yes 改为PermitRootLogin no，重启sshd 服务。

五、日志
（1）启用 syslog 系统日志审计功能
查看文件cat  /etc/syslog.conf 查看是否有#authpriv.* /var/log/secure,将 authpirv 设备的任何级别的信息记录到/var/log/secure 文件
六、登陆超时时间设置
（1）对于具备字符交互界面的设备，配置定时帐户自动登出
通过修改账户中“TMOUT”参数，可以实现此功能。TMOUT 按秒计算。编辑profile 文件（vi /etc/profile），在“HISTFILESIZE=”后面加入下面这行：建议 TMOUT=300（可根据情况设定）