linux系统安全加固.pdf

linux系统安全加固.pdf

《linux系统安全加固.pdf》由会员分享，可在线阅读，更多相关《linux系统安全加固.pdf（32页珍藏版）》请在冰豆网上搜索。

通用linux系统安全加固手册通用linux系统安全加固手册系统安全加固手册11帐帐帐帐户户户户安安安安全全全全配配配配置置置置要要要要求求求求11.11创创创创建建建建/eettcc/sshhaaddooww影影影影子子子子口口口口令令令令文文文文件件件件配置项名配置项名称称设置影子口令模式检查方法检查方法执行：

#more/etc/shadow查看是否存在该文件操作步骤操作步骤1、执行备份：

#cpp/etc/passwd/etc/passwd_bak2、切换到影子口令模式：

#pwconv回退操作回退操作执行：

#pwunconv#cp/etc/passwd_bak/etc/passwd风险说明风险说明系统默认使用标准口令模式，切换不成功可能导致整个用户管理失效11.22建建建建立立立立多多多多帐帐帐帐户户户户组组组组，将将将将用用用用户户户户账账账账号号号号分分分分配配配配到到到到相相相相应应应应的的的的帐帐帐帐户户户户组组组组配置项名配置项名称称建立多帐户组，将用户账号分配到相应的帐户组检查方法检查方法1、执行：

#more/etc/group#more/etc/shadow查看每个组中的用户或每个用户属于那个组2、确认需要修改用户组的用户操作步骤操作步骤1、执行备份：

#cpp/etc/group/etc/group_bak2、修改用户所属组：

系统安全加固手册#usermodggroupusername回退操作回退操作执行：

#cp/etc/group_bak/etc/group风险说明风险说明修改用户所属组可能导致某些应用无法正常运行11.33删删删删除除除除或或或或锁锁锁锁定定定定可可可可能能能能无无无无用用用用的的的的帐帐帐帐户户户户配置项名配置项名称称删除或锁定可能无用的帐户检查方法检查方法1、执行：

#more/etc/passwd查看是否存在以下可能无用的帐户：

hpsmh、named、uucp、nuucp、adm、daemon、bin、lp2、与管理员确认需要锁定的帐户操作步骤操作步骤1、执行备份：

#cpp/etc/passwd/etc/passwd_bak2、锁定无用帐户：

#passwd-lusername回退操作回退操作执行：

#cp/etc/passwd_bak/etc/passwd风险说明风险说明锁定某些用户可能导致某些应用无法正常运行11.44删删删删除除除除可可可可能能能能无无无无用用用用的的的的用用用用户户户户组组组组配置项名配置项名称称删除可能无用的用户组检查方法检查方法1、执行：

#more/etc/group查看是否存在以下可能无用的用户组：

lpnuucpnogroup2、与管理员确认需要删除的用户组系统安全加固手册操作步骤操作步骤1、执行备份：

#cpp/etc/group/etc/group_bak2、删除无用的用户组：

#groupdelgroupname回退操作回退操作执行：

#cp/etc/group_bak/etc/group风险说明风险说明删除某些组可能导致某些应用无法正常运行11.55检检检检查查查查是是是是否否否否存存存存在在在在空空空空密密密密码码码码的的的的帐帐帐帐户户户户配置项名配置项名称称检查是否存在空密码的帐户检查方法检查方法执行下列命令，检查是否存在空密码的帐户loginsp应无回结果操作步骤操作步骤1、执行备份：

#cpp/etc/passwd/etc/passwd_bak#cp-p/etc/shadow/etc/shadow_bak2、锁定空密码帐户或使用passwd命令设置复杂密码#passwdlusername回退操作回退操作执行：

#cpp/etc/passwd_bak/etc/passwd#cp-p/etc/shadow_bak/etc/shadow风险说明风险说明锁定某些帐户可能导致某些应用无法正常运行11.66设设设设置置置置口口口口令令令令策策策策略略略略满满满满足足足足复复复复杂杂杂杂度度度度要要要要求求求求配置项名配置项名称称设置口令策略满足复杂度要求检查方法检查方法1、执行下列命令，检查是否存在空密码的帐户#loginsp应无返回结果2、执行：

系统安全加固手册#more/etc/default/security检查是否满足以下各项复杂度参数：

MIN_PASSWORD_LENGTH=6PASSWORD_MIN_UPPER_CASE_CHARS=1PASSWORD_MIN_LOWER_CASE_CHARS=1PASSWORD_MIN_DIGIT_CHARS=1PASSWORD_MIN_SPECIAL_CHARS=1操作步骤操作步骤1、执行备份：

#cpp/etc/default/security/etc/default/security_bak#cpp/etc/passwd/etc/passwd_bak2、执行下列命令，编辑/etc/default/security#vi/etc/default/security修改以下各项复杂度参数：

MIN_PASSWORD_LENGTH=6PASSWORD_MIN_UPPER_CASE_CHARS=1PASSWORD_MIN_LOWER_CASE_CHARS=1PASSWORD_MIN_DIGIT_CHARS=1PASSWORD_MIN_SPECIAL_CHARS=1回退操作回退操作执行：

#cp/etc/default/security_bak/etc/default/security#cp/etc/passwd_bak/etc/passwd风险说明风险说明可能导致非root用户修改自己的密码时多次不成功11.77设设设设置置置置帐帐帐帐户户户户口口口口令令令令生生生生存存存存周周周周期期期期配置项名配置项名称称设置帐户口令生存周期检查方法检查方法执行：

#more/etc/default/security查看是否存在以下各项参数：

PASSWORD_MAXDAYS=90系统安全加固手册PASSWORD_WARNDAYS=28操作步骤操作步骤1、执行备份：

#cpp/etc/default/security/etc/default/security_bak#cpp/etc/passwd/etc/passwd_bak2、执行下列命令，编辑/etc/default/security#vi/etc/default/security修改以下各项参数：

PASSWORD_MAXDAYS=90PASSWORD_WARNDAYS=28回退操作回退操作执行：

#cp/etc/default/security_bak/etc/default/security#cp/etc/passwd_bak/etc/passwd风险说明风险说明可能在密码过期后影响正常使用及维护11.88设设设设定定定定密密密密码码码码历历历历史史史史，不不不不能能能能重重重重复复复复使使使使用用用用最最最最近近近近55次次次次（含含含含55次次次次）内内内内已已已已使使使使用用用用的的的的口口口口令令令令配置项名配置项名称称应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令检查方法检查方法执行：

#more/etc/default/security查看是否存在以下参数：

PASSWORD_HISTORY_DEPTH=5操作步骤操作步骤1、执行备份：

#cpp/etc/default/security/etc/default/security_bak#cpp/etc/passwd/etc/passwd_bak2、执行下列命令，编辑/etc/default/security#vi/etc/default/security修改以下参数：

PASSWORD_HISTORY_DEPTH=5系统安全加固手册回退操作回退操作执行：

#cp/etc/default/security_bak/etc/default/security#cp/etc/passwd_bak/etc/passwd风险说明风险说明低风险11.99限限限限制制制制rroooott用用用用户户户户远远远远程程程程登登登登录录录录配置项名配置项名称称root用户远程登录限制检查方法检查方法执行：

#more/etc/securetty检查是否有下列行：

Console执行：

#more/opt/ssh/etc/sshd_config检查是否有PermitRootLoginno操作步骤操作步骤1、执行备份：

#cpp/etc/securetty/etc/securetty_bak#cp-p/opt/ssh/etc/sshd_config/opt/ssh/etc/sshd_config_bak2、新建一个普通用户并设置高强度密码：

#useraddusername#passwdusername3、禁止root用户远程登录系统：

#vi/etc/securetty去掉console前面的注释，保存退出#vi/opt/ssh/etc/sshd_config将PermitRootLogin后的yes改为no回退操作回退操作执行：

#cp/etc/securetty_bak/etc/securetty#cp-p/opt/ssh/etc/sshd_config_bak/opt/ssh/etc/sshd_config系统安全加固手册风险说明风险说明严重改变维护人员操作习惯，必须新建一个能够执行交互式登录的普通用户并能够通过su提升权限，可能带来新的威胁11.1100检检检检查查查查ppaasssswwdd、ggrroouupp文文文文件件件件权权权权限限限限设设设设置置置置配置项名配置项名称称检查passwd、group文件权限设置检查方法检查方法执行：

#lsl/etc/passwd/etc/group操作步骤操作步骤1、执行备份：

#cpp/etc/passwd/etc/passwd_bak#cpp/etc/group/etc/group_bak2、修改文件权限：

#chmod644/etc/passwd#chmod644/etc/group回回退退执行：

#cp/etc/passwd_bak/etc/passwd#cp/etc/group_bak/etc/group风险说明风险说明权限设置不当可能导致无法执行用户管理，并可能造成某些应用运行异常11.1111删删删删除除除除帐帐帐帐户户户户目目目目录录录录下下下下的的的的.nneettrrcc/.rrhhoossttss/.sshhoossttss文文文文件件件件配置项名配置项名称称删除帐户目录下的.netrc/.rhosts/.shosts文件检查方法检查方法执行下列命令，检查帐户目录下是否存在.netrc/.rhosts/.shosts文件#logins-ox|cut-f6-d:

|grep/home/|whilereaddir;dols-a$dir;done操作步骤操作步骤1、执行备份：

使用cp命令备份.netrc/.rhosts/.shosts文件2、删除文件：

使用rm-f命令删除.netrc/.rhosts/.shosts文件系统安全加固手册回退操作回退操作使用cp命令恢复被删除的.netrc/.rhosts/.shosts文件风险