Xóa bớt tài khoản và nhóm đặc biệt
      Người quản trị nên xóa bỏ tất cả tài khoản và nhóm được
  tạo sẵn trong hệ thống nhưng không có nhu cầu sử dụng (ví
  dụ:  Ip,  sync,  shutdown,  halt,  news,  U U C P ,  operator,  games,
  gopher...). Thực hiện việc xóa bỏ tài khoản bằng lệnh userdel
  và xóa bỏ nhóm với lệnh groupdel.


      Tắt các dịch vụ không sử dụng
      Một điều  khá  nguy hiểm  là sau  khi cài  đặt,  hệ thống
  tự động bật chạy khá nhiều dịch vụ,  trong đó đa sô" là các
  dịch vụ không mong muốh, dẫn đến tiêu tốh tài nguyên và
  sinh ra nên nhiều nguy cơ về bảo mật. Vì vậy người quản
  trị nên tắt các dịch vụ không dùng tói (ntsysv) hoặc xóa bỏ
  các gói dịch vụ không sử dụng bằng lệnh rpm.


      Không cho "su" lên root
      Lệnh  su  (Substitute  User) cho phép  người dùng chuyển
  sang một tài khoản khác.  Nếu không muốn người dùng "su"
  thành root thì thêm hai dòng sau vào tập tin /etc/pam.d/su:
      auth sufflcient /lib/security/pam_rootok.so debug
      auth requyred /lib/security/Pam_wheeLso group=tên_nhóm_rũot


      Che giã'u tập tin mật khẩu
      Giai  đoạn  đầu,  mật  khẩu  toàn  bộ  tài  khoản  đã  từng
  đưỢc lưu trong tập tin /etc/password, tập tin mà mọi người
  dùng  đếu  có  quyền  đọc.  Đây  là  kẽ  hỏ  lớn  trong  bảo  mật
  mặc dù mật khẩu được  mã hóa nhưng việc giải mã không
  phải là không thể thực hiện được. Do đó, hiện nay các nhà
  phát  triển  Linux  đã  đặt  riêng  mật  khẩu  mã  hóa  vào  tập
  tin  /etc/shadow  chỉ  có  root  mới  đọc  được,  nhưng  yêu  cầu
  phải  chọn  Enable  the  shadovv  password  khi  cài  đặt
  RedHat.


                                                                203