Linux系统安全加固手册1资料.docx
- 文档编号:11568959
- 上传时间:2023-03-19
- 格式:DOCX
- 页数:13
- 大小:301.65KB
Linux系统安全加固手册1资料.docx
《Linux系统安全加固手册1资料.docx》由会员分享,可在线阅读,更多相关《Linux系统安全加固手册1资料.docx(13页珍藏版)》请在冰豆网上搜索。
Linux系统安全加固手册1资料
RedHatLinux系统安全加固
Redhat是目前企业中用的最多的一类Linux,而目前针对Redhat攻击的黑客也越来越多了。
我们要如何为这类服务器做好安全加固工作呢?
一.账户安全
1.1锁定系统中多余的自建帐号
检查方法:
执行命令
#cat/etc/passwd
#cat/etc/shadow
查看账户、口令文件,与系统管理员确认不必要的账号。
对于一些保留的系统伪帐户如:
bin,sys,adm,uucp,lp,nuucp,hpdb,www,daemon等可根据需要锁定登陆。
备份方法:
#cp-p/etc/passwd/etc/passwd_bak
#cp-p/etc/shadow/etc/shadow_bak
加固方法:
使用命令passwd-l<用户名>锁定不必要的账号。
使用命令passwd-u<用户名>解锁需要恢复的账号。
图1
风险:
需要与管理员确认此项操作不会影响到业务系统的登录
1.2设置系统口令策略
检查方法:
使用命令
#cat/etc/login.defs|grepPASS查看密码策略设置
备份方法:
cp-p/etc/login.defs/etc/login.defs_bak
加固方法:
#vi/etc/login.defs修改配置文件
PASS_MAX_DAYS90#新建用户的密码最长使用天数
PASS_MIN_DAYS0#新建用户的密码最短使用天数
PASS_WARN_AGE7#新建用户的密码到期提前提醒天数
PASS_MIN_LEN9#最小密码长度9
图2
风险:
无可见风险
1.3禁用root之外的超级用户
检查方法:
#cat/etc/passwd查看口令文件,口令文件格式如下:
login_name:
password:
user_ID:
group_ID:
comment:
home_dir:
command
login_name:
用户名
password:
加密后的用户密码
user_ID:
用户ID,(1~6000)若用户ID=0,则该用户拥有超级用户的权限。
查看此处是否有多个ID=0。
group_ID:
用户组ID
comment:
用户全名或其它注释信息
home_dir:
用户根目录
command:
用户登录后的执行命令
备份方法:
#cp-p/etc/passwd/etc/passwd_bak
加固方法:
使用命令passwd-l<用户名>锁定不必要的超级账户。
使用命令passwd-u<用户名>解锁需要恢复的超级账户。
风险:
需要与管理员确认此超级用户的用途。
1.4限制能够su为root的用户
检查方法:
#cat/etc/pam.d/su,查看是否有authrequired/lib/security/pam_wheel.so这样的配置条目
备份方法:
#cp-p/etc/pam.d/etc/pam.d_bak
加固方法:
#vi/etc/pam.d/su
在头部添加:
authrequired/lib/security/pam_wheel.sogroup=wheel
这样,只有wheel组的用户可以su到root
#usermod-G10test将test用户加入到wheel组
图3
风险:
需要PAM包的支持;对pam文件的修改应仔细检查,一旦出现错误会导致无法登陆;和管理员确认哪些用户需要su。
当系统验证出现问题时,首先应当检查/var/log/messages或者/var/log/secure中的输出信息,根据这些信息判断用户账号的有效
性。
如果是因为PAM验证故障,而引起root也无法登录,只能使用singleuser或者rescue模式进行排错。
1.5检查shadow中空口令帐号
检查方法:
#awk-F:
'(==""){print}'/etc/shadow
备份方法:
cp-p/etc/shadow/etc/shadow_bak
加固方法:
对空口令账号进行锁定,或要求增加密码
图4
风险:
要确认空口令账户是否和应用关联,增加密码是否会引起应用无法连接。
二、最小化服务
2.1停止或禁用与承载业务无关的服务
检查方法:
#who–r或runlevel查看当前init级别
#chkconfig--list查看所有服务的状态
备份方法:
记录需要关闭服务的名称
加固方法:
#chkconfig--level<服务名>on|off|reset设置服务在个init级别下开机是否启动
图5
风险:
某些应用需要特定服务,需要与管理员确认。
三、数据访问控制
3.1设置合理的初始文件权限
检查方法:
#cat/etc/profile查看umask的值
备份方法:
#cp-p/etc/profile/etc/profile_bak
加固方法:
#vi/etc/profile
umask=027
风险:
会修改新建文件的默认权限,如果该服务器是WEB应用,则此项谨慎修改。
四、网络访问控制
4.1使用SSH进行管理
检查方法:
#ps–aef|grepsshd查看有无此服务
备份方法:
加固方法:
使用命令开启ssh服务
#servicesshdstart
风险:
改变管理员的使用习惯
4.2设置访问控制策略限制能够管理本机的IP地址
检查方法:
#cat/etc/ssh/sshd_config查看有无AllowUsers的语句
备份方法:
#cp-p/etc/ssh/sshd_config/etc/ssh/sshd_config_bak
加固方法:
#vi/etc/ssh/sshd_config,添加以下语句
AllowUsers*@10.138.*.*此句意为:
仅允许10.138.0.0/16网段所有用户通过ssh访问
保存后重启ssh服务
#servicesshdrestart
风险:
需要和管理员确认能够管理的IP段
4.3禁止root用户远程登陆
检查方法:
#cat/etc/ssh/sshd_config查看PermitRootLogin是否为no
备份方法:
#cp-p/etc/ssh/sshd_config/etc/ssh/sshd_config_bak
加固方法:
#vi/etc/ssh/sshd_config
PermitRootLoginno
保存后重启ssh服务
servicesshdrestart
图6
风险:
root用户无法直接远程登录,需要用普通账号登陆后su
4.4限定信任主机
检查方法:
#cat/etc/hosts.equiv查看其中的主机
#cat/$HOME/.rhosts查看其中的主机
备份方法:
#cp-p/etc/hosts.equiv/etc/hosts.equiv_bak
#cp-p/$HOME/.rhosts/$HOME/.rhosts_bak
加固方法:
#vi/etc/hosts.equiv删除其中不必要的主机
#vi/$HOME/.rhosts删除其中不必要的主机
风险:
在多机互备的环境中,需要保留其他主机的IP可信任。
4.5屏蔽登录banner信息
检查方法:
#cat/etc/ssh/sshd_config查看文件中是否存在Banner字段,或banner字段为NONE
#cat/etc/motd查看文件内容,该处内容将作为banner信息显示给登录用户。
备份方法:
#cp-p/etc/ssh/sshd_config/etc/ssh/sshd_config_bak
#cp-p/etc/motd/etc/motd_bak
加固方法:
#vi/etc/ssh/sshd_config
bannerNONE
#vi/etc/motd
删除全部内容或更新成自己想要添加的内容
风险:
无可见风险
4.6防止误使用Ctrl+Alt+Del重启系统
检查方法:
#cat/etc/inittab|grepctrlaltdel查看输入行是否被注释
备份方法:
#cp-p/etc/inittab/etc/inittab_bak
加固方法:
#vi/etc/inittab
在行开头添加注释符号“#”
#ca:
:
ctrlaltdel:
/sbin/shutdown-t3-rnow
图7
风险:
无可见风险
五、用户鉴别
5.1设置帐户锁定登录失败锁定次数、锁定时间
检查方法:
#cat/etc/pam.d/system-auth查看有无authrequiredpam_tally.so条目的设置
备份方法:
#cp-p/etc/pam.d/system-auth/etc/pam.d/system-auth_bak
加固方法:
#vi/etc/pam.d/system-auth
authrequiredpam_tally.soonerr=faildeny=6unlock_time=300设置为密码连续错误6次锁定,锁定时间300秒
解锁用户faillog-u<用户名>-r
风险:
需要PAM包的支持;对pam文件的修改应仔细检查,一旦出现错误会导致无法登陆;
当系统验证出现问题时,首先应当检查/var/log/messages或者/var/log/secure中的输出信息,根据这些信息判断用户账号的有效
性。
5.2修改帐户TMOUT值,设置自动注销时间
检查方法:
#cat/etc/profile查看有无TMOUT的设置
备份方法:
#cp-p/etc/profile/etc/profile_bak
加固方法:
#vi/etc/profile
增加
TMOUT=600无操作600秒后自动退出
风险:
无可见风险
5.3Grub/Lilo密码
检查方法:
#cat/etc/grub.conf|greppassword查看grub是否设置密码
#cat/etc/lilo.conf|greppassword查看lilo是否设置密码
备份方法:
#cp-p/etc/grub.conf/etc/grub.conf_bak
#cp-p/etc/lilo.conf/etc/lilo.conf_bak
加固方法:
为grub或lilo设置密码
风险:
etc/grub.conf通常会链接到/boot/grub/grub.conf
5.4限制FTP登录
检查方法:
#cat/etc/ftpusers确认是否包含用户名,这些用户名不允许登录FTP服务
备份方法:
#cp-p/etc/ftpusers/etc/ftpusers_bak
加固方法:
#vi/etc/ftpusers添加行,每行包含一个用户名,添加的用户将被禁止登录FTP服务
风险:
无可见风险
5.5设置Bash保留历史命令的条数
检查方法:
#cat/etc/profile|grepHISTSIZE=
#cat/etc/profile|grepHISTFILESIZE=查看保留历史命令的条数
备份方法:
#cp-p/etc/profile/etc/profile_bak
加固方法:
#vi/etc/profile
修改HISTSIZE=5和HISTFILESIZE=5即保留最新执行的5条命令
图8
风险:
无可见风险
六、审计策略
6.1配置系统日志策略配置文件
检查方法:
#ps–aef|grepsyslog确认syslog是否启用
#cat/etc/syslog.conf查看syslogd的配置,并确认日志文件是否存在
系统日志(默认)/var/log/messages
cron日志(默认)/var/log/cron
安全日志(默认)/var/log/secure
备份方法:
#cp-p/etc/syslog.conf
图9
6.2为审计产生的数据分配合理的存储空间和存储时间
检查方法:
#cat/etc/logrotate.conf查看系统轮询配置,有无
#rotatelogfilesweekly
weekly
#keep4weeksworthofbacklogs
rotate4的配置
备份方法:
#cp-p/etc/logrotate.conf/etc/logrotate.conf_bak
加固方法:
#vi/etc/logrotate.d/syslog
增加
rotate4日志文件保存个数为4,当第5个产生后,删除最早的日志
size100k每个日志的大小
加固后应类似如下内容:
/var/log/syslog/*_log{
missingok
notifempty
size100k#logfileswillberotatedwhentheygrowbiggerthat100k.
rotate5#willkeepthelogsfor5weeks.
compress#logfileswillbecompressed.
sharedscripts
postrotate
/etc/init.d/syslogcondrestart>/dev/null2>1||true
endscript
}
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Linux 系统安全 加固 手册 资料