Linux系统安全加固手册Word格式.docx
《Linux系统安全加固手册Word格式.docx》由会员分享,可在线阅读,更多相关《Linux系统安全加固手册Word格式.docx(13页珍藏版)》请在冰豆网上搜索。
使用命令passwd-l<
用户名>
锁定不必要的账号。
使用命令passwd-u<
解锁需要恢复的账号。
图1
风险:
需要与管理员确认此项操作不会影响到业务系统的登录
1.2设置系统口令策略
检查方法:
使用命令
#cat/etc/login.defs|grepPASS查看密码策略设置
cp-p/etc/login.defs/etc/login.defs_bak
加固方法:
#vi/etc/login.defs修改配置文件
PASS_MAX_DAYS90#新建用户的密码最长使用天数
PASS_MIN_DAYS0#新建用户的密码最短使用天数
PASS_WARN_AGE7#新建用户的密码到期提前提醒天数
PASS_MIN_LEN9#最小密码长度9
图2
风险:
无可见风险
1.3禁用root之外的超级用户
#cat/etc/passwd查看口令文件,口令文件格式如下:
login_name:
password:
user_ID:
group_ID:
comment:
home_dir:
command
用户名
password:
加密后的用户密码
user_ID:
用户ID,(1~6000)若用户ID=0,则该用户拥有超级用户的权限。
查看此处是否有多个ID=0。
group_ID:
用户组ID
comment:
用户全名或其它注释信息
home_dir:
用户根目录
command:
用户登录后的执行命令
锁定不必要的超级账户。
解锁需要恢复的超级账户。
需要与管理员确认此超级用户的用途。
1.4限制能够su为root的用户
#cat/etc/pam.d/su,查看是否有authrequired/lib/security/pam_wheel.so这样的配置条目
#cp-p/etc/pam.d/etc/pam.d_bak
#vi/etc/pam.d/su
在头部添加:
authrequired/lib/security/pam_wheel.sogroup=wheel
这样,只有wheel组的用户可以su到root
#usermod-G10test将test用户加入到wheel组
图3
需要PAM包的支持;
对pam文件的修改应仔细检查,一旦出现错误会导致无法登陆;
和管理员确认哪些用户需要su。
当系统验证出现问题时,首先应当检查/var/log/messages或者/var/log/secure中的输出信息,根据这些信息判断用户账号的有效
性。
如果是因为PAM验证故障,而引起root也无法登录,只能使用singleuser或者rescue模式进行排错。
1.5检查shadow中空口令帐号
#awk-F:
'
(=="
"
){print}'
/etc/shadow
cp-p/etc/shadow/etc/shadow_bak
对空口令账号进行锁定,或要求增加密码
图4
要确认空口令账户是否和应用关联,增加密码是否会引起应用无法连接。
二、最小化服务
2.1停止或禁用与承载业务无关的服务
#who–r或runlevel查看当前init级别
#chkconfig--list查看所有服务的状态
记录需要关闭服务的名称
#chkconfig--level<
服务名>
on|off|reset设置服务在个init级别下开机是否启动
图5
某些应用需要特定服务,需要与管理员确认。
三、数据访问控制
3.1设置合理的初始文件权限
#cat/etc/profile查看umask的值
#cp-p/etc/pro
#vi/etc/profile
umask=027
会修改新建文件的默认权限,如果该服务器是WEB应用,则此项谨慎修改。
四、网络访问控制
4.1使用SSH进行管理
#ps–aef|grepsshd查看有无此服务
使用命令开启ssh服务
#servicesshdstart
改变管理员的使用习惯
4.2设置访问控制策略限制能够管理本机的IP地址
#cat/etc/ssh/sshd_config查看有无AllowUsers的语句
#cp-p/etc/ssh/sshd_config/etc/ssh/sshd_config_bak
#vi/etc/ssh/sshd_config,添加以下语句
AllowUsers*@10.138.*.*此句意为:
仅允许10.138.0.0/16网段所有用户通过ssh访问
保存后重启ssh服务
#servicesshdrestart
需要和管理员确认能够管理的IP段
4.3禁止root用户远程登陆
#cat/etc/ssh/sshd_config查看PermitRootLogin是否为no
#vi/etc/ssh/sshd_config
PermitRootLoginno
servicesshdrestart
图6
root用户无法直接远程登录,需要用普通账号登陆后su
4.4限定信任主机
#cat/etc/hosts.equiv查看其中的主机
#cat/$HOME/.rhosts查看其中的主机
#cp-p/etc/hosts.equiv/etc/hosts.equiv_bak
#cp-p/$HOME/.rhosts/$HOME/.rhosts_bak
#vi/etc/hosts.equiv删除其中不必要的主机
#vi/$HOME/.rhosts删除其中不必要的主机
在多机互备的环境中,需要保留其他主机的IP可信任。
4.5屏蔽登录banner信息
#cat/etc/ssh/sshd_config查看文件中是否存在Banner字段,或banner字段为NONE
#cat/etc/motd查看文件内容,该处内容将作为banner信息显示给登录用户。
#cp-p/etc/motd/etc/motd_bak
bannerNONE
#vi/etc/motd
删除全部内容或更新成自己想要添加的内容
4.6防止误使用Ctrl+Alt+Del重启系统
#cat/etc/inittab|grepctrlaltdel查看输入行是否被注释
#cp-p/etc/inittab/etc/inittab_bak
#vi/etc/inittab
在行开头添加注释符号“#”
#ca:
:
ctrlaltdel:
/sbin/shutdown-t3-rnow
图7
五、用户鉴别
5.1设置帐户锁定登录失败锁定次数、锁定时间
#cat/etc/pam.d/system-auth查看有无authrequiredpam_tally.so条目的设置
#cp-p/etc/pam.d/system-auth/etc/pam.d/system-auth_bak
#vi/etc/pam.d/system-auth
authrequiredpam_tally.soonerr=faildeny=6unlock_time=300设置为密码连续错误6次锁定,锁定时间300秒
解锁用户faillog-u<
-r
5.2修改帐户TMOUT值,设置自动注销时间
#cat/etc/profile查看有无TMOUT的设置
增加
TMOUT=600无操作600秒后自动退出
5.3Grub/Lilo密码
#cat/etc/grub.conf|greppassword查看grub是否设置密码
#cat/etc/lilo.conf|greppassword查看lilo是否设置密码
#cp-p/etc/grub.conf/etc/grub.conf_bak
#cp-p/etc/lilo.conf/etc/lilo.conf_bak
为grub或lilo设置密码
etc/grub.conf通常会链接到/boot/grub/grub.conf
5.4限制FTP