一、开关机安全控制

　　1）调整BIOS将第一引导设备设为当前系统所在硬盘

　　2）调整BIOS禁止从其他设备（光盘、U盘、网络）引导系统

　　3）调整BIOS将安全级别设为setup，并设置管理员密码

　　4）禁用重启热键Ctrl+Alt+Del，避免因用户误操作导致重启

　　~] #vim /etc/init/control-alt-delete.conf（注解掉最后两行）

二、Grub菜单设置

　　Grub菜单限制：

　　　　未经授权禁止修改启动参数（比如进入单用户模式，修改root密码）

　　　　未经授权禁止进入指定系统（多系统时）

　　密码设置方式（/boot/grub.conf）

　　　　password  明文密码串

　　　　password --md5 加密密码串

　　密码记录的位置

　　　　全局部分（第一个“title”之前）

　　　　系统引导部分（每个“title”部分之后）

　　Grub限制的实现

　　　　使用~] #grub-md5-crypt命令交互输入密码，获得加密字串

　　　　修改/boot/grub.conf文件，在对应的密码记录位置添加password --md5 加密字串

三、终端登录安全控制

　　1）减少开放终端个数，需要修改两个文件，并且两个文件修改的tty个数要保持一致,改完重启生效。（默认打开6个tty终端）

　　~] #vim /etc/init/start-ttys.conf

　　例如修改

　　env ACTIVE_CONSOLES=/dev/tty[1-6] 为 env ACTIVE_CONSOLES=/dev/tty[456]

　　~] #vim /etc/sysconfig/init

　　例如修改

　　ACTIVE_CONSOLES=/dev/tty[1-6] 也为 tty[456] 

　　2）限制root只在安全的终端登录，修改/etc/securetty注释掉无用的tty即可（批量注释方法：按ctrl+v进入可视化模块，按j向下选择要注释的行，按k向上选择，再按I插入，按#，然后esc）

　　3）禁止普通用户登录：touch一个名为nologin的空文件即可，即建立/etc/nologin文件，删除nologin文件即恢复正常。

linux系统安全及应用——系统引导和登录控制