Linux系统主机安全加固.docx
《Linux系统主机安全加固.docx》由会员分享,可在线阅读,更多相关《Linux系统主机安全加固.docx(7页珍藏版)》请在冰豆网上搜索。
Linux系统主机安全加固
Linux主机安全加固
V1.0
hk有限公司
二零一五年二月
文件编号:
DOC-2016
当前版本:
1.0
保管:
密级:
秘密(HK有限公司)
完成日期:
2016-06
一、修改密码策略
1、cp/etc/login.defs/etc/login.defs.bak
2、vi/etc/login.defs
PASS_MAX_DAYS90(用户的密码不过期最多的天数)
PASS_MIN_DAYS0(密码修改之间最小的天数)
PASS_MIN_LEN8(密码最小长度)
PASS_WARN_AGE7(口令失效前多少天开始通知用户更改密码)
按要求修改这几个密码选项,修改完之后保存(:
wq!
)退出即可。
二、查看系统是否已设定了正确UMASK值(022)
1、用命令umask查看umask值是否是022,
如果不是用下面命令进行修改:
cp/etc/profile/etc/profile.bak
vi/etc/profile
找到umask022,修改这个数值即可。
三、锁定系统中不必要的系统用户和组
1、cp/etc/passwd/etc/passwd.bak
cp/etc/shadow/etc/shadow.bak
锁定下列用户
2、foriinadmlpsyncnewsuucpgamesftprpcrpcusernfsnobodymailnullgdmdo
usermod-L$idone
3、检查是否锁定成功
more/etc/shadow如:
lp:
!
*:
15980:
0:
99999:
7:
:
:
lp帐户后面有!
号为已锁定。
4、禁用无关的组:
备份:
cp/etc/group/etc/group.bak
5、编辑:
vi/etc/group
在组前面加#进行注释参考下面
#lp:
x:
7:
daemon,lp
#uucp:
x:
14:
uucp
#games:
x:
20:
#ftp:
x:
50:
#rpc:
x:
32:
#rpcuser:
x:
29:
#nfsnobody:
x:
65534:
#mailnull:
x:
47:
#gdm:
x:
42:
6、禁止root用户远程登录
cp/etc/ssh/sshd_config/etc/ssh/sshd_config.bak
vi/etc/ssh/sshd_config文件,将其中的PermitRootLogin改成no,然后重新启动ssh服务/etc/init.d/sshdrestart
四、linux中预防SYNflood
1、备份cp/etc/sysctl.conf/etc/sysctl.conf.bak
2、编辑vi/etc/sysctl.conf
3、添加net.ipv4.tcp_syncookies=1
4、保存退出
5、/sbin/sysctl-p命令使变更生效
五、ARP捆绑IP
1、确认网关IP和mac地址是正确的
2.查看arp-a
3.echo'27.152.190.199b8:
88:
e3:
fa:
b9:
8f'>/etc/ethers
4.捆绑arp-f
5、对比例子:
(请参考系统运行的实际情况)捆绑前root@web1etc]#arp-a
?
(27.152.190.199)atb8:
88:
e3:
fa:
b9:
8f[ether]onem1
捆绑后
?
(27.152.190.199)atb8:
88:
e3:
fa:
b9:
8f[ether]PERMonem1
6、设置开机捆绑MAC
备份开机自启动服务文件cp/etc/rc.d/rc.local/etc/rc.d/rc.local.bak
编辑vi/etc/rc.d/rc.local添加arp–f
六、停止无用服务
注意:
需要根据系统的实际情况和询问管理员哪些服务跟业务无关方可停用。
foriinautofschargenchargen-udpgpmip6tablesisdnkudzuxinetdnfsnfslockpcmciarhnsd
do
chkconfig--level2345$ioffservice$istop
done
启动审计服务
foriinauditdo
chkconfig--level2345$ionservice$istart
done
七、系统禁用X-Window系统
1、编辑:
cp/etc/inittab/etc/inittab.bakvi/etc/inittab
id:
5:
initdefault:
将数值5改为3即可。
八、残留信息保护(使.bash_history值保存30个命令,用户退出是自动删除.bash_history文件)
1、备份:
cp/etc/profile/etc/profile.bak
2、编辑vi/etc/profile
HISTFILESIZE=30(如果没有请自行添加)修改保存值为30
HISTSIZE=30修改保存值为30
3、退出后自动删除个用户的“.bash_history”文件
备份:
cp/etc/skel/.bash_logout/etc/skel/.bash_logout.bak编辑:
vi/etc/skel/.bash_logout
在后面添加rm-f$HOME/.bash_history
more/etc/sysctl.conf
九、查看/tmp和/var/tmp目录具有粘滞位
1、查看,例如:
ls-al/|greptmpdrwxrwxrwt7root
2、修改:
chmod+t/tmpchmod+t/var/tmp
十、加固TCP/IP协议栈
1、系统当前状态more/etc/sysctl.conf
检查/etc/sysctl.conf是否存在以下内容:
net.ipv4.tcp_max_syn_backlog=4096net.ipv4.conf.all.rp_filter=1net.ipv4.conf.all.accept_source_route=0net.ipv4.conf.all.accept_redirects=0net.ipv4.conf.all.secure_redirects=0net.ipv4.conf.default.rp_filter=1net.ipv4.conf.default.accept_source_route=0net.ipv4.conf.default.accept_redirects=0net.ipv4.conf.default.secure_redirects=0
2、Vi/etc/sysctl.conf文件添加或修改下列值。
net.ipv4.tcp_max_syn_backlog=4096net.ipv4.conf.all.rp_filter=1net.ipv4.conf.all.accept_source_route=0net.ipv4.conf.all.accept_redirects=0net.ipv4.conf.all.secure_redirects=0net.ipv4.conf.default.rp_filter=1net.ipv4.conf.default.accept_source_route=0net.ipv4.conf.default.accept_redirects=0net.ipv4.conf.default.secure_redirects=0
chownroot:
root/etc/sysctl.confchmod0600/etc/sysctl.confsysctl–p/etc/sysctl.conf
注意:
修改前请备份/etc/sysctl.conf文件,如果对上面参数不清楚的请找相关资料了解。
这些参数应依据实际业务的需要来微调,具体请咨询厂商与业务开发商。
十一、系统重要文件访问权限是否为644或600
一般检查/etc/passwd、/etc/shadow文件默认配置如下(可参照此):
#ls-al/etc/passwd/etc/shadow修改方法:
chmod644/etc/shadowChmod600/etc/passwd
十二、系统是否启用安全审计
用命令查看chkconfig--list|grepauditd
例如:
[root@linux~]#chkconfig--list|grepauditd
auditd
0:
off
1:
off
2:
on
3:
off
4:
on
5:
off
6:
off
root@linux~]#serviceauditdstatus
auditdisstopped
[root@linux~]#serviceauditdrestart
Startingauditd:
[
OK
]
[root@linux~]#serviceauditdstatus
auditd(pid32217)isrunning...
chkconfig--list|grepauditd
auditd
0:
off
1:
off
2:
on
3:
on
4:
on
5:
on
6:
off
十三、安全审计
启用计策略,一般对系统的登陆、退出、创建/删除目录、修改密码、添加组、计划任务,添加完策略后需重启这个服务:
serviceauditdrestart
范例:
more/etc/audit/audit.rules
#Enableauditing-e1
##loginconfigurationandinformation
-w/etc/login.defs-pwa-kCFG_login.defs-w/etc/securetty-pwa-kCFG_securetty-w/var/log/faillog-pwa-kLOG_faillog-w/var/log/lastlog-pwa-kLOG_lastlog-w/var/log/tallylog-pwa-kLOG_tallylog
##directoryoperations
#-aentry,always-Smkdir-Smkdirat-Srmdir
##cronconfiguration&scheduledjobs
-w/etc/cron.allow-pwa-kCFG_cron.allow-w/etc/cron.deny-pwa-kCFG_cron.deny-w/etc/cron.d/-pwa-kCFG_cron.d
-w/etc/cron.daily/-pwa-kCFG_cron.daily-w/etc/cron.hourly/-pwa-kCFG_cron.hourly
-w/etc/cron.monthly/-pwa-kCFG_cron.monthly-w/etc/cron.weekly/-pwa-kCFG_cron.weekly-w/etc/crontab-pwa-kCFG_crontab
-w/var/spool/cron/root-kCFG_crontab_root
##user,group,passworddatabases-w/etc/group-pwa-kCFG_group-w/etc/passwd-pwa-kCFG_passwd-w/etc/gshadow-kCFG_gshadow
-w/etc/shadow-kCFG_shadow
-w/etc/security/opasswd-kCFG_opasswd
#-----FileSystemauditrules-----
#Addawatchon"passwd"withthearbitraryfilterkey"fk_passwd"that
#generatesrecordsfor"reads,writes,executes,andappends"on"passwd"-w/etc/passwd-kfk_passwd-prwxa
#Addawatch"shadow"withaNULLfilterkeythathaspermissions
#filteringturnedoff
-w/etc/shadow
警告:
如果在运行守护进程时添加规则/etc/audit/audit.rules,则一定要以根用户身份用
serviceauditdrestart命令启用修改。
升级会员 