整理Linux系统安全加固手册1Word文档下载推荐.docx
- 文档编号:21859913
- 上传时间:2023-02-01
- 格式:DOCX
- 页数:13
- 大小:388.21KB
整理Linux系统安全加固手册1Word文档下载推荐.docx
《整理Linux系统安全加固手册1Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《整理Linux系统安全加固手册1Word文档下载推荐.docx(13页珍藏版)》请在冰豆网上搜索。
风险:
需要与管理员确认此项操作不会影响到业务系统的登录
1.2设置系统口令策略
检查方法:
使用命令
#cat/etc/login.defs|grepPASS查看密码策略设置
cp-p/etc/login.defs/etc/login.defs_bak
加固方法:
#vi/etc/login.defs修改配置文件
PASS_MAX_DAYS90#新建用户的密码最长使用天数
PASS_MIN_DAYS0#新建用户的密码最短使用天数
PASS_WARN_AGE7#新建用户的密码到期提前提醒天数
PASS_MIN_LEN9#最小密码长度9
图2
风险:
无可见风险
1.3禁用root之外的超级用户
#cat/etc/passwd查看口令文件,口令文件格式如下:
login_name:
password:
user_ID:
group_ID:
comment:
home_dir:
command
用户名
password:
加密后的用户密码
user_ID:
用户ID,(1~6000)若用户ID=0,则该用户拥有超级用户的权限。
查看此处是否有多个ID=0。
group_ID:
用户组ID
comment:
用户全名或其它注释信息
home_dir:
用户根目录
command:
用户登录后的执行命令
锁定不必要的超级账户。
解锁需要恢复的超级账户。
需要与管理员确认此超级用户的用途。
1.4限制能够su为root的用户
#cat/etc/pam.d/su,查看是否有authrequired/lib/security/pam_wheel.so这样的配置条目
#cp-p/etc/pam.d/etc/pam.d_bak
#vi/etc/pam.d/su
在头部添加:
authrequired/lib/security/pam_wheel.sogroup=wheel
这样,只有wheel组的用户可以su到root
#usermod-G10test将test用户加入到wheel组
图3
需要PAM包的支持;
对pam文件的修改应仔细检查,一旦出现错误会导致无法登陆;
和管理员确认哪些用户需要su。
当系统验证出现问题时,首先应当检查/var/log/messages或者/var/log/secure中的输出信息,根据这些信息判断用户账号的有效
性。
如果是因为PAM验证故障,而引起root也无法登录,只能使用singleuser或者rescue模式进行排错。
1.5检查shadow中空口令帐号
#awk-F:
'
(=="
"
){print}'
/etc/shadow
cp-p/etc/shadow/etc/shadow_bak
对空口令账号进行锁定,或要求增加密码
图4
要确认空口令账户是否和应用关联,增加密码是否会引起应用无法连接。
二、最小化服务
2.1停止或禁用与承载业务无关的服务
#who–r或runlevel查看当前init级别
#chkconfig--list查看所有服务的状态
记录需要关闭服务的名称
#chkconfig--level<
服务名>
on|off|reset设置服务在个init级别下开机是否启动
图5
某些应用需要特定服务,需要与管理员确认。
三、数据访问控制
3.1设置合理的初始文件权限
#cat/etc/profile查看umask的值
#cp-p/etc/profile/etc/profile_bak
#vi/etc/profile
umask=027
会修改新建文件的默认权限,如果该服务器是WEB应用,则此项谨慎修改。
四、网络访问控制
4.1使用SSH进行管理
#ps–aef|grepsshd查看有无此服务
使用命令开启ssh服务
#servicesshdstart
改变管理员的使用习惯
4.2设置访问控制策略限制能够管理本机的IP地址
#cat/etc/ssh/sshd_config查看有无AllowUsers的语句
#cp-p/etc/ssh/sshd_config/etc/ssh/sshd_config_bak
#vi/etc/ssh/sshd_config,添加以下语句
AllowUsers*@10.138.*.*此句意为:
仅允许10.138.0.0/16网段所有用户通过ssh访问
保存后重启ssh服务
#servicesshdrestart
需要和管理员确认能够管理的IP段
4.3禁止root用户远程登陆
#cat/etc/ssh/sshd_config查看PermitRootLogin是否为no
#vi/etc/ssh/sshd_config
PermitRootLoginno
servicesshdrestart
图6
root用户无法直接远程登录,需要用普通账号登陆后su
4.4限定信任主机
#cat/etc/hosts.equiv查看其中的主机
#cat/$HOME/.rhosts查看其中的主机
#cp-p/etc/hosts.equiv/etc/hosts.equiv_bak
#cp-p/$HOME/.rhosts/$HOME/.rhosts_bak
#vi/etc/hosts.equiv删除其中不必要的主机
#vi/$HOME/.rhosts删除其中不必要的主机
在多机互备的环境中,需要保留其他主机的IP可信任。
4.5屏蔽登录banner信息
#cat/etc/ssh/sshd_config查看文件中是否存在Banner字段,或banner字段为NONE
#cat/etc/motd查看文件内容,该处内容将作为banner信息显示给登录用户。
#cp-p/etc/motd/etc/motd_bak
bannerNONE
#vi/etc/motd
删除全部内容或更新成自己想要添加的内容
4.6防止误使用Ctrl+Alt+Del重启系统
#cat/etc/inittab|grepctrlaltdel查看输入行是否被注释
#cp-p/etc/inittab/etc/inittab_bak
#vi/etc/inittab
在行开头添加注释符号“#”
#ca:
:
ctrlaltdel:
/sbin/shutdown-t3-rnow
图7
五、用户鉴别
5.1设置帐户锁定登录失败锁定次数、锁定时间
#cat/etc/pam.d/system-auth查看有无authrequiredpam_tally.so条目的设置
#cp-p/etc/pam.d/system-auth/etc/pam.d/system-auth_bak
#vi/etc/pam.d/system-auth
authrequiredpam_tally.soonerr=faildeny=6unlock_time=300设置为密码连续错误6次锁定,锁定时间300秒
解锁用户faillog-u<
-r
5.2修改帐户TMOUT值,设置自动注销时间
#cat/etc/profile查看有无TMOUT的设置
增加
TMOUT=600无操作600秒后自动退出
5.3Grub/Lilo密码
#cat/etc/grub.conf|greppassword查看grub是否设置密码
#cat/etc/lilo.conf|greppassword查看lilo是否设置密码
#cp-p/etc/grub.conf/etc/grub.conf_bak
#cp-p/etc/lilo.conf/etc/lilo.conf_bak
为grub或lilo设置密码
etc/grub.conf通常会链接到/boot/grub/grub.conf
5.4限制FTP登录
#cat/etc/ftpusers确认是否包含用户名,这些用户名不允许登录FTP服务
#cp-p/etc/ftpusers/etc/ftpusers_bak
#vi/etc/ftpusers添加行,每行包含一个用户名,添加的用户将被禁止登录FTP服务
5.5设置Bash保留历史命令的条数
#cat/etc/profile|grepHISTSIZE=
#cat/etc/profile|grepHISTFILESIZE=查看保留历史命令的条数
修改HISTSIZE=5和HISTFILESIZE=5即保留最新执行的5条命令
图8
六、审计策略
6.1配置系统日志策略配置文件
#ps–aef|grepsyslog确认syslog是否启用
#cat/etc/syslog.conf查看syslogd的配置,并确认日志文件是否存在
系统日志(默认)/var/log/messages
cron日志(默认)/var/log/cron
安全日志(默认)/var/log/secure
#cp-p/etc/syslog.conf
图9
6.2为审计产生的数据分配合理的存储空间和存储时间
#cat/etc/logrotate.conf查看系统轮询配置,有无
#rotatelogfilesweekly
weekly
#keep4weeksworthofbacklogs
(1)资质等级。
评价机构的环评资质分为甲、乙两个等级。
环评证书在全国范围内使用,有效期为4年。
rotate4的配置
#cp-p/etc/logrotate.conf/etc/logrotate.conf_bak
#vi/etc/logrotate.d/syslog
『正确答案』A rotate4日志文件保存个数为4,当第5个产生后,删除最早的日志
(3)环境影响技术评估。
size100k每个日志的大小
[例题-2005年真题]《中华人民共和国环境影响评价法》规定,建设项目可能造成轻度环境影响的,应当编制( )。
加固后应类似如下内容:
规划编制单位应当在报送审查的环境影响报告书中附具对公众意见采纳与不采纳情况及其理由的说明。
/var/log/syslog/*_log{
missingok
另外,故障树分析(FTA)和日本劳动省六阶段安全评价方法可用于定性、定量评价。
notifempty
size100k#logfileswillberotatedwhentheygrowbiggerthat100k.
rotate5#willkeepthelogsfor5weeks.
4.环境保护地方性法规和地方性规章 compress#logfileswillbecompressed.
sharedscripts
《建设项目安全设施“三同时”监督管理暂行办法》(国家安全生产监督管理总局令第36号)第四条规定建设项目安全设施必须与主体工程“同时设计、同时施工、同时投入生产和使用”。
安全设施投资应当纳入建设项目概算。
并规定在进行建设项目可行性研究时,应当分别对其安全生产条件进行论证并进行安全预评价。
postrotate
建设项目环境影响评价技术服务机构(以下简称“环评机构”)应当按照《建设项目环境影响评价资质管理办法》的规定申请建设项目环境影响评价资质(以下简称“环评资质”),经国家环境保护部审查合格,取得《建设项目环境影响评价资质证书》后,方可在环评证书规定的资质等级和评价和范围内从事环境影响评价技术服务。
/etc/init.d/syslogcondrestart>
/dev/null2>
1||true
endscript
}
2.早期介入原则;
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 整理 Linux 系统安全 加固 手册