Linux系统安全加固手册Word格式.docx
《Linux系统安全加固手册Word格式.docx》由会员分享,可在线阅读,更多相关《Linux系统安全加固手册Word格式.docx(10页珍藏版)》请在冰豆网上搜索。
![Linux系统安全加固手册Word格式.docx](https://file1.bdocx.com/fileroot1/2022-10/13/923a0881-3846-4768-b559-ac9d4c65c122/923a0881-3846-4768-b559-ac9d4c65c1221.gif)
加固方法:
使用命令
passwd
-l
<
用户名>
锁定不必要的账号。
-u
解锁需要恢复的账号。
图
1
风险:
需要与管理员确认此项操作不会影响到业务系统的登录
1.2
设置系统口令策略
检查方法:
使用命令
/etc/login.defs|grep
PASS
查看密码策略设置
cp
/etc/login.defs
/etc/login.defs_bak
加固方法:
#vi
修改配置文件
PASS_MAX_DAYS
90
#新建用户的密码最长使用天数
PASS_MIN_DAYS
0
#新建用户的密码最短使用天数
PASS_WARN_AGE
7
#新建用户的密码到期提前提醒天数
PASS_MIN_LEN
9
#最小密码长度
9
2
风险:
无可见风险
1.3
禁用
root
之外的超级用户
查看口令文件,口令文件格式如下:
login_name:
password:
user_ID:
group_ID:
comment:
home_dir:
command
用户名
password:
加密后的用户密码
user_ID:
用户
ID,(1
~
6000)
若用户
ID=0,则该用户拥有超级用户的权限。
查看此处是否
有多个
ID=0。
group_ID:
用户组
ID
comment:
用户全名或其它注释信息
home_dir:
用户根目录
command:
用户登录后的执行命令
锁定不必要的超级账户。
解锁需要恢复的超级账户。
需要与管理员确认此超级用户的用途。
1.4
限制能够
su
为
的用户
/etc/pam.d/su,查看是否有
auth
required
/lib/security/pam_wheel.so
这样的配置
条目
#cp
/etc/pam.d
/etc/pam.d_bak
/etc/pam.d/su
在头部添加:
auth
group=wheel
这样,只有
wheel
组的用户可以
到
root
#usermod
-G10
test
将
用户加入到
组
3
需要
PAM
包的支持;
对
pam
文件的修改应仔细检查,一旦出现错误会导致无法登陆;
和
管理员确认哪些用户需要
su。
当系统验证出现问题时,首先应当检查/var/log/messages
或者/var/log/secure
中的输出信
息,根据这些信息判断用户账号的有效
性。
如果是因为
验证故障,而引起
也无法登录,只能使用
single
user
或者
rescue
模式进行排错。
1.5
检查
shadow
中空口令帐号
#awk
-F:
'
(
==
"
)
{
print
}'
cp
对空口令账号进行锁定,或要求增加密码
4
要确认空口令账户是否和应用关联,增加密码是否会引起应用无法连接。
二、最小化服务
2.1
停止或禁用与承载业务无关的服务
#who
–r
或
runlevel
查看当前
init
级别
#chkconfig
--list
查看所有服务的状态
记录需要关闭服务的名称
--level
服务名>
on|off|reset
设置服务在个
级别下开机是否启动
5
某些应用需要特定服务,需要与管理员确认。
三、数据访问控制
3.1
设置合理的初始文件权限
/etc/profile
查看
umask
的值
/etc/profile_bak
/etc/profile
umask=027
会修改新建文件的默认权限,如果该服务器是
WEB
应用,则此项谨慎修改。
四、网络访问控制
4.1
使用
SSH
进行管理
#ps
–aef
|
grep
sshd
查看有无此服务
使用命令开启
ssh
服务
#service
start
改变管理员的使用习惯
4.2
设置访问控制策略限制能够管理本机的
IP
地址
/etc/ssh/sshd_config
查看有无
AllowUsers
的语句
/etc/ssh/sshd_config_bak
/etc/ssh/sshd_config,添加以下语句
AllowUsers
*@10.138.*.*
此句意为:
仅允许
10.138.0.0/16
网段所有用户通过
访问
保存后重启
restart
需要和管理员确认能够管理的
段
4.3
禁止
用户远程登陆
PermitRootLogin
是否为
no
/etc/ssh/sshd_config
PermitRootLogin
service
6
用户无法直接远程登录,需要用普通账号登陆后
su
4.4
限定信任主机
/etc/hosts.equiv
查看其中的主机
/$HOME/.rhosts
/etc/hosts.equiv_bak
/$HOME/.rhosts_bak
删除其中不必要的主机
在多机互备的环境中,需要保留其他主机的
可信任。
4.5
屏蔽登录
banner
信息
查看文件中是否存在
Banner
字段,或
字段为
NONE
/etc/motd
查看文件内容,该处内容将作为
信息显示给登录用户。
/etc/motd_bak
banner
/etc/motd
删除全部内容或更新成自己想要添加的内容
4.6
防止误使用
Ctrl+Alt+Del
重启系统
/etc/inittab|grep
ctrlaltdel
查看输入行是否被注释
/etc/inittab
/etc/inittab_bak
/etc/inittab
在行开头添加注释符号“#”
#ca:
:
ctrlaltdel:
/sbin/shutdown
-t3
-r
now
7
五、用户鉴别
5.1
设置帐户锁定登录失败锁定次数、锁定时间
/etc/pam.d/system-auth
pam_tally.so
条目的设置
/etc/pam.d/system-auth_bak
/etc/pam.d/system-auth
onerr=fail
deny=6
unlock_time=300
设置为密码连续错误
次锁定,锁定时间
300
秒
解锁用户
faillog
-r
5.2
修改帐户
TMOUT
值,设置自动注销时间
的设置
增加
TMOUT=600
无操作
600
秒后自动退出
5.3
Grub/Lilo
密码
/etc/grub.conf|grep
password
grub
是否设置密码
/etc/lilo.conf|grep
passwor