专注网络安全|安全运维|建站技术|黑客教程|资源分享等综合站长学习平台
老龙博客

网站首页 安全运维 操作系统 正文

linux系统安全加固

老龙 2021-03-24 操作系统 118 ℃ 0 评论

1.帐户安全性 

 1.1将自建帐户锁定在系统中 

查看帐户: 

 cat / etc / passwd  

 cat / etc / shadow  

检查帐户和密码文件,并与系统管理员确认不必要的帐户。 

对于某些保留的系统伪帐户(例如bin,sys,adm,uucp,lp,nuucp,hpdb,www,守护程序等),可以根据需要锁定登录名。修改时,该省存在问题: 

备份方法: 

 cp -p / etc / passwd / etc / passwd_bak  

 cp -p / etc / shadow / etc / shadow_bak  

加固方法: 

使用命令passwd -l \\ u003客户名称\\ u003e锁定不必要的帐户。 

使用命令passwd -u \\ u003使用者名称\\ u003e解锁需要还原的帐户。 

风险:有必要与管理员确认此操作不会影响业务系统的登录 

 1.2设置系统密码策略 

查看密码策略设置:cat /etc/login.defs|grep PASS  

修改前进行备份:cp -p /etc/login.defs /etc/login.defs_bak\\r\\n 

修改配置文件:vi /etc/login.defs\\r\\n 

文件中参数的说明: 

 PASS_MAX_DAYS 90可以使用新用户密码的最大天数 

 PASS_MIN_DAYS 0使用新用户密码的最小天数 

 PASS_WARN_AGE 7提醒新用户密码到期前的天数 

 PASS_MIN_LEN 0最小密码长度0  

 PASS_MAX_LEN 9最大密码长度9  

 1.3禁用超级密码root用户以外的用户 

查看密码文件:cat / etc / passwd  

属性说明: 

 login_name:用户名 

密码:加密的用户密码 

 user_ID:用户ID,1〜6000如果用户ID \\ u003d0,则该用户具有超级用户权限。 

检查此处是否有多个ID \\ u003d0。 

 group_ID:用户组ID  

评论:用户\\ u0027的全名或其他注释信息 

 home_dir:

用户根目录 

命令:用户登录后的执行命令 

加强方法与1.1  

 1.4相同。作为root  

修改/etc/pam.d/su文件第一次备份:cp -p /etc/pam.d/su /etc/pam.d/su_bak\\r\\n 

添加在标头中:必需的身份验证/lib/security/pam_wheel.so group \\ u003dwheel仅可以将wheel组中的用户su  

将测试用户添加到wheel组中:usermod -G wheel test  

故障排除:如果系统验证出现问题,请首先检查/ var / log / messages或/ var / log / secure中的输出信息,然后根据该信息判断用户帐户的有效性。 

如果是由于PAM身份验证失败而导致root无法登录,则只能使用单用户或救援模式进行故障排除。 

 2。最小化服务 

 2.1停止或禁用与承载业务无关的服务 

查看谁-r或runlevel的当前初始化级别 

查看所有服务的状态chkconfig --list  

设置服务是否在init级别启动chkconfig --level \\ u003c服务名称\\ u003e on | off | reset  

注意:要安装chkconfig,radhat附带 

 3。数据访问控制 

修改umask的值更改新创建的文件的安全属性 

备份:cp -p / etc / profile / etc / profile_bak  ## #Modify umask \\ u003d027  

功能:通过设置umask值,您可以设置新创建的文件和目录的默认权限 

风险:新文件的默认权限将被修改。如果服务器是WEB应用程序,则应谨慎修改此项目。 

具体说明:请百度。 

。 

。 

。 

 4。网络访问控制 

 4.1使用SSH进行管理 

检查服务是否已启用:ps -aef | grep sshd  

启动服务:service sshd start  

关闭服务:service sshd stop  

重新启动服务:service sshd restart  

 4.2设置访问控制策略以限制管理IP地址的能力机器 

先备份

文件:cp -p / etc / ssh / sshd_config / etc / ssh / sshd_config_bak  

修改文件: 

 Add:AllowUsers * 10.138。*。*仅允许10.138.0.0/16网段通过ssh  

保存后,重新启动ssh。 

 4.3禁止root用户远程使用ssh  

修改文件/ etc / ssh / sshd_config将PermitRootLogin修改为yes  

在进行更改之前记住备份 

 4.4受限的受信任主机 

修改/etc/hosts.allow和添加以下代码: 

 sshd:192.168.0.100:allow //允许IP 192.168.0.100登录 

 sshd:192.168.10。:allow //允许IP 192.168。 10。网段登录 

修改/etc/hosts.deny,添加一些代码 

 sshd:all:deny //禁止所有其他IP登录 

 4.5防止错误使用Ctrl + Alt + Del重新启动系统 

修改/etc/init/control-alt-delete.conf文件以更改最后一行: 

 exec / sbin / shutdown -r现在按下Control-Alt-Delete只需将其注释掉 

 5。用户身份验证 

 5.1设置帐户锁定登录失败的次数和锁定时间 

修改文件/etc/pam.d/system-auth以添加一行: 

 auth必需pam_tally.so onerr \\ u003dfail deny \\ u003d6 unlock_time \\ u003d300  

设置为锁定连续6个错误密码,并且锁定时间为300秒 

用户之后锁定,解锁:faillog -u \\ u003使用者名称\\ u003e -r  

风险:需要PAM软件包支持;请仔细检查pam文件的修改。一旦发生错误,它将无法登录;如果系统验证出现问题,则应首先检查/ var / log / messages或/ var / log / secure 

输出信息,然后根据此信息判断用户帐户的有效性。 n 

 5.2修改帐户TMOUT值,设置自动注销时间 

修改/ etc / profile文件 

在HISTF 

在ILESIZE \\ u003d之后添加以下行,然后添加:TMOUT \\ u003d600表示在不活动600秒后它将自动退出 

 5.3设置Bash保留的历史命令的数量 

修改/ etc / profile文件中HISTSIZE的值,然后自己进行设置 

 6。审核策略 

 6.1配置系统日志策略配置文件 

检查是否已启动syslog:ps -aef | grep syslog  

检查rsyslogd的配置并确认日志文件是否存在:cat /etc/rsyslog.conf\\r\\n 

 6.2为合理的存储空间和存储时间分配由audit  

查看系统轮询配置:cat /etc/logrotate.conf\\r\\n 

某些属性: 

 rotate 4保存的日志文件数为4。生成第五个日志,删除最早的日志 

 size 100k每个日志的大小


Tags:linux系统运维linux安全加固

本文暂时没有评论,来添加一个吧(●'◡'●)

欢迎 发表评论:

搜索
最近发布
标签列表
站点信息
  • 文章总数:101
  • 页面总数:3
  • 分类总数:29
  • 标签总数:271
  • 评论总数:4
  • 浏览总数:5277