Linux系统安全加固手册讲解学习Word格式文档下载.docx
- 文档编号:15008008
- 上传时间:2022-10-26
- 格式:DOCX
- 页数:14
- 大小:18.43KB
Linux系统安全加固手册讲解学习Word格式文档下载.docx
《Linux系统安全加固手册讲解学习Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《Linux系统安全加固手册讲解学习Word格式文档下载.docx(14页珍藏版)》请在冰豆网上搜索。
使用命令passwd-l<
用户名>
锁定不必要的账号。
使用命令passwd-u<
解锁需要恢复的账号。
图1
风险:
需要与管理员确认此项操作不会影响到业务系统的登录
1.2设置系统口令策略
检查方法:
使用命令
#cat/etc/login.defs|grepPASS查看密码策略设置
cp-p/etc/login.defs/etc/login.defs_bak
加固方法:
#vi/etc/login.defs修改配置文件
PASS_MAX_DAYS90新#建用户的密码最长使用天数
PASS_MIN_DAYS0新#建用户的密码最短使用天数
PASS_WARN_AGE新7#建用户的密码到期提前提醒天数
PASS_MIN_LEN9最#小密码长度9
图2
风险:
无可见风险
1.3禁用root之外的超级用户
#cat/etc/passwd查看口令文件,口令文件格式如下:
login_name:
password:
user_ID:
group_ID:
comment:
home_dir:
command
用户名
password:
加密后的用户密码
用户ID,(1~6000)若用户ID=0,则该用户拥有超级用户的权限。
查看此处是否
有多个ID=0。
用户组ID
comment:
用户全名或其它注释信息
home_dir:
用户根目录
command:
用户登录后的执行命令
锁定不必要的超级账户。
解锁需要恢复的超级账户。
需要与管理员确认此超级用户的用途。
1.4限制能够su为root的用户
#cat/etc/pam.d/su,查看是否有authrequired/lib/security/pam_wheel.so这样的配置条
目
#cp-p/etc/pam.d/etc/pam.d_bak
#vi/etc/pam.d/su
在头部添加:
authrequired/lib/security/pam_wheel.sogroup=wheel
这样,只有wheel组的用户可以su到root#usermod-G10test将test用户加入到wheel组
图3
需要PAM包的支持;
对pam文件的修改应仔细检查,一旦出现错误会导致无法登陆;
和管
理员确认哪些用户需要su。
当系统验证出现问题时,首先应当检查/var/log/messages或者/var/log/secure中的输出信
息,根据这些信息判断用户账号的有效
性。
如果是因为PAM验证故障,而引起root也无法登录,只能使用singleuser或者rescue
模式进行排错。
1.5检查shadow中空口令帐号
#awk-F:
'
(=="
"
){print}'
/etc/shadow
cp-p/etc/shadow/etc/shadow_bak
对空口令账号进行锁定,或要求增加密码
图4
要确认空口令账户是否和应用关联,增加密码是否会引起应用无法连接。
二、最小化服务
2.1停止或禁用与承载业务无关的服务
#who–r或runlevel查看当前init级别
#chkconfig--list查看所有服务的状态
记录需要关闭服务的名称
#chkconfig--level<
服务名>
on|off|reset设置服务在个init级别下开机是否启动
图5
某些应用需要特定服务,需要与管理员确认。
三、数据访问控制
3.1设置合理的初始文件权限
#cat/etc/profile查看umask的值
#cp-p/etc/profile/etc/profile_bak
#vi/etc/profile
umask=027
会修改新建文件的默认权限,如果该服务器是WEB应用,则此项谨慎修改。
四、网络访问控制
4.1使用SSH进行管理
#ps–aef|grepsshd查看有无此服务
使用命令开启ssh服务
#servicesshdstart
改变管理员的使用习惯
4.2设置访问控制策略限制能够管理本机的IP地址
#cat/etc/ssh/sshd_config查看有无AllowUsers的语句
#cp-p/etc/ssh/sshd_config/etc/ssh/sshd_config_bak
#vi/etc/ssh/sshd_config
,添加以下语句
AllowUsers*@10.138.*.*
此句意为:
仅允许
10.138.0.0/16
网段所有用户通过
ssh
访问
保存后重启
ssh服务
#servicesshdrestart
需要和管理员确认能够管理的IP段
4.3禁止root用户远程登陆
#cat/etc/ssh/sshd_config查看PermitRootLogin是否为no
PermitRootLoginno
保存后重启ssh服务
servicesshdrestart
图6
root用户无法直接远程登录,需要用普通账号登陆后su
4.4限定信任主机
#cat/etc/hosts.equiv
查看其中的主机
#cat/$HOME/.rhosts
#cp-p/etc/hosts.equiv/etc/hosts.equiv_bak
#cp-p/$HOME/.rhosts/$HOME/.rhosts_bak
#vi/etc/hosts.equiv
删除其中不必要的主机
#vi/$HOME/.rhosts
在多机互备的环境中,需要保留其他主机的IP可信任。
4.5屏蔽登录banner信息
#cat/etc/ssh/sshd_config查看文件中是否存在Banner字段,或banner字段为NONE
#cat/etc/motd查看文件内容,该处内容将作为banner信息显示给登录用户。
#cp-p/etc/ssh/sshd_config/etc/ssh/sshd_config_bak#cp-p/etc/motd/etc/motd_bak
bannerNONE
#vi/etc/motd
删除全部内容或更新成自己想要添加的内容
4.6防止误使用Ctrl+Alt+Del重启系统
#cat/etc/inittab|grepctrlaltdel查看输入行是否被注释
#cp-p/etc/inittab/etc/inittab_bak
#vi/etc/inittab
在行开头添加注释符号“#”
#ca:
:
ctrlaltdel:
/sbin/shutdown-t3-rnow
图7
五、用户鉴别
5.1设置帐户锁定登录失败锁定次数、锁定时间
#cat/etc/pam.d/system-auth查看有无authrequiredpam_tally.so条目的设置
#cp-p/etc/pam.d/system-auth/etc/pam.d/system-auth_bak
#vi/etc/pam.d/system-auth
authrequiredpam_tally.soonerr=faildeny=6unlock_time=300设置为密码连续错误6
次锁定,锁定时间300秒
解锁用户faillog-u<
-r
对pam文件的修改应仔细检查,一旦出现错误会导致无法登陆;
5.2修改帐户TMOUT值,设置自动注销时间
#cat/etc/profile查看有无TMOUT的设置
增加
TMOUT=600无操作
600秒后自动退出
5.3Grub/Lilo
密码
#cat/etc/grub.conf|greppassword
查看
grub
是否设置密码
#cat/etc/lilo.conf|greppassword
lilo
#cp-p/etc/grub.conf/etc/grub.conf_bak
#cp-p/etc/lilo.conf/etc/lilo.conf_bak
为
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Linux 系统安全 加固 手册 讲解 学习