“科技教程：LINUX安全加固”

现在，许多合作伙伴开始对加强linux的安全性感兴趣。 每一天看起来平静的日子，谁都会发生各种各样的故事。 大家现在都想知道这样的消息。 那么，现在大家想知道关于加强linux安全性的事情，有兴趣的伙伴请和我一起来看看。 我不会说无聊的话，但马上跟着编辑，一起看看吧。 我希望对你有帮助。

一.账户安全

1.1锁定系统中多余的自制帐户

检查方法:

执行命令

# # cat/etc /密码

#cat /etc/shadow

确认帐户、密码文件，向系统管理员确认不需要的帐户。 对于临时保存的系统(如bin、sys、adm、uucp、lp、nuucp、hpdb、www和daemon )，可以根据需要锁定登录。

备份方法:

# # CP-p/etc /密码/ etc /密码_ bak

# # CP-p/etc /阴影/ etc /阴影_背景

加强的做法:

指示使用passwd -l客户名称锁定不需要的帐户。

指示使用passwd -u的客户名称解除锁定要恢复的帐户。

1.2设置系统密码策略

检查方法:

采纳命令

# #查看#cat /etc/login.defs|grep pass密码策略设置

备份方法:

CP-P/ETC /登录.德芙/ ETC /登录.德芙_巴克

加强的做法:

#vi /etc/login.defs配置文件的更改

pass_max_days 90 #新客户的密码最长聘用天数

pass_min_days 0 #新客户的密码最短聘用天数

pass_warn_age 7 #新客户的密码到期提前警告天数

密码长度9 #最小密码长度9

1.3禁用root以外的超级用户

检查方法:

查看#cat /etc/passwd密码文件时，密码文件的样式如下:

登录名称:密码:用户id :组id :注释:主页:命令

登录名称:客户名称

密码:加密客户的密码

user_id :顾客id，(1 ~ 6000 )如果顾客id=0，则该顾客拥有超级顾客的权限。 确认这里是否有多个id=0。

组标识:客户组标识

comment :客户全名或其他评论新闻

home_dir :客户路线

command :客户登录后的执行命令

备份方法:

# # CP-p/etc /密码/ etc /密码_ bak

加强的做法:

使用命令passwd -l的客户名称锁定不需要的超级帐户。

指示使用passwd -u的客户名称解锁需要恢复的超级帐户。

风险:需要向管理员确认这个超级用户的用途。

限制能够将1.4su设为超级用户的客户

检查方法:

检查是否有类似#cat /etc/pam.d/su、要求自动验证/ lib /安全/ PAM _ wheel.so的配置项

备份方法: #cp -p /etc/pam.d /etc/pam.d_bak

加强的做法:

# # VI/etc/PAM.d /苏

添加到头部:

要求/库/安全/帕米_ wheel.so组= wheel

这样，只有wheel集团的客户才能从su前往root

#usermod -g10 test让test的顾客加入了wheel集团

如果系统验证出现问题，必须首先检查/var/log/messages或/var/log/secure的输出新闻，并根据这些新闻评估客户帐户的有效性

做爱。 如果root由于pam验证错误而无法登录，则只能在单用户或rescue模式下进行调试。

1.5在shadow上检查空密码帐户

检查方法:

#awk-f:'(== )打印) )/etc/Shadow

备份方法: cp -p /etc/shadow /etc/shadow_bak

加强措施:空锁定密码帐户或请求添加密码

二、最小化服务

2.1停止或禁用与承载业务无关的服务

检查方法:

# # who–r或runlevel显示当前的init级别

#chkconfig --list显示所有服务的状态

备份方法—记录需要停止服务的名称

加强的做法:

#chkconfig --level服务名on|off|reset配置服务是否在init级别启动

三、数据访问控制

3.1合理设置初始文件权限

检查方法:

显示# # # cat/etc /轮廓遮罩的值

备份方法:

# # CP-p/etc /轮廓/ etc /轮廓_ bak

加强的做法:

# # VI/etc /简档

umask=027

风险:创建新文件的默认权限将发生改变。 如果此服务是web应用程序，则此权限将被小心更改。

四、互联网访问控制

4.1通过ssh进行管理

检查方法:

# # PS–AEF|grep sshd检查是否有此服务

备份方法:

加强的做法:

使用命令启动ssh服务

# #服务固态硬盘开始

风险:改变管理者的招聘习性

4.2可以设定访问控制策略限制，管理本机的ip地址

检查方法:

检查有无# # cat/etc/ssh/sshd _ config allow users的文件

备份方法:

# # CP-P/ETC/SSH/SSHD _ config/ETC/SSH/SSHD _ config _ bak

加强的做法:

#vi /etc/ssh/sshd_config，添加以下语句

allowusers *@10.138.*.*此文件允许10.138.0.0/16网络段的所有客户通过ssh进行访问

在保留后重新启动ssh服务

# #服务固态硬盘重新启动

风险:需要与管理员确认可以管理的ip段

4.3禁止根客户端远程登录

检查方法:

检查# # cat/etc/ssh/sshd _ configpermitrootlogin是否为否

备份方法:

# # CP-P/ETC/SSH/SSHD _ config/ETC/SSH/SSHD _ config _ bak

加强的做法:

#vi /etc/ssh/sshd_config

权限登录号

在保留后重新启动ssh服务

服务固态硬盘重新启动

4.4受信任主机的限制

检查方法:

#cat /etc/hosts.equiv查看其中的主机

#cat /$home/.rhosts查看其中的主机

备份方法:

# # CP-P/ETC /主机. EQUIV/ETC /主机. EQUIV _ Bak

# # CP-p/$主机/.rhosts/$主机/.rhosts _ bak

加强的做法:

#vi /etc/hosts.equiv删除不需要的主机

#vi /$home/.rhosts删除不需要的主机

风险:在多台计算机相互准备的环境中，必须维护其他主机的ip可靠性。

4.5阻止登录banner新闻

检查方法:

检查#cat /etc/ssh/sshd_config文件中是否存在banner字段，或者banner字段是否为none

#cat /etc/motd将检查作为banner新闻登录的客户看到的文件副本。

备份方法:

# # CP-P/ETC/SSH/SSHD _ config/ETC/SSH/SSHD _ config _ bak

#cp -p /etc/motd /etc/motd_bak

加强的做法:

#vi /etc/ssh/sshd_config

班纳·诺尼

#vi /etc/motd

删除所有副本或更新到要添加的副本

风险:没有可见的风险

4.6错误地采用ctrl+alt+del以防止重新启动系统

检查方法:

# # cat/etc/inittab|grep ctrl alt del检查输入行是否已被注释

备份方法:

# # CP-p/etc/inittab/etc/inittab _ bak

加强的做法:

#vi /etc/inittab

在行的开头添加注释符号“#”

# # CA:: CTL alt Del:/ Sbin /关闭下一个- T3 -下一个

五、客户认证

5.1设置帐户锁定登录失败锁定次数、锁定时间

检查方法:

#cat /etc/pam.d/system-auth将检查是否有auth需求的PAM _ tally.so条目的设置

备份方法:

# # CP-p/etc/PAM.d /系统自动/ etc/PAM.d /系统自动_返回

加强的做法:

# # VI/etc/PAM.d /系统-自动

authrequiredpam _ tally.soonerr = fail deny =6unlock _ time = 300表示密码已连续锁定6次，锁定时间设置为300秒

客户故障记录- u客户名称-r的解锁

风险:需要pam包的支持pam文件的修订需要仔细检查，如果发生错误，将无法登录；

如果系统验证出现问题，必须首先检查/var/log/messages或/var/log/secure的输出新闻，并根据这些新闻评估客户帐户的比较有效性。

5.2更改帐户的tmout值，设置自动注销时间

检查方法:

确认有无#cat/etc/profiletmout的设定

备份方法:

# # CP-p/etc /轮廓/ etc /轮廓_ bak

加强的做法:

# # VI/etc /简档

增加

tmout=600无操作600秒后自动结束

风险:没有可见的风险

5.3 grub/lilo密码

检查方法:

确认# # cat/etc/grub.conf|greppasswordgrub是否设置了密码

确认# # # cat/etc/lilo.conf|greppasswordlilo是否设定了密码

备份方法:

# # CP-p/etc/grub.conf/etc/grub.conf _ bak

# # CP-p/etc/lilo.conf/etc/lilo.conf _ bak

加强措施:设置grub或lilo的密码

风险: etc/grub.conf通常链接到/boot/grub/grub.conf

5.4FTP登录限制

检查方法:

确认#cat/etc/ftpusersFTP服务中包含无法登录的顾客名称

备份方法:

# # CP-p/etc/ftpusers/etc/ftpusers _ bak

加强的做法:

添加#vi /etc/ftpusers行。 每行都包含客户名称，添加的客户将被禁止登录到ftp服务

风险:没有可见的风险

5.5设定bash保存历史记录命令的条数

检查方法:

# # cat/etc /轮廓| grep hist size =

# # cat/etc/profile|grep histfilesize =查看保存历史记录的命令数量

备份方法:

# # CP-p/etc /轮廓/ etc /轮廓_ bak

加强的做法:

# # VI/etc /简档

如果更改histsize=5和histfilesize=5，将保存最后五个命令

六、鉴定政策

6.1配置系统日志策略配置文件

检查方法:

确认# # PS–AEF|grepsyslogsyslog已启用

检查#cat/etc/syslog.confsyslogd的配置，确认日志文件是否存在

系统日志(默认) /变量/日志/消息

克隆日志(默认) /变量/日志/克隆

安全日志(默认) /变量/日志/安全

备份方法:

# # CP-p/etc /系统日志. conf

6.2为抽样生成的数据分配合理的存储空和存储时间

检查方法:

#cat /etc/logrotate.conf确认是否有系统轮询配置

# #旋转日志文件周

维基百科

# # keep 4后台唤醒

旋转4的构成

备份方法:

# # CP-p/etc/logrotate.conf/etc/logrotate.conf _ bak

加强的做法:

# # VI/etc /日志. d /系统日志

增加

rotate 4的日志文件剩余数量为4，在发生第5个日志后删除最旧的日志

size 100k中每个日志的大小

加强后请进行以下复制。

/var/log/syslog/*_log {

微软公司

通告空

size 100k # logfileswillberotatedwhentheygrowbiggerthat 100k。

rotate5# Willkeepthelogsfor5weeks

compress # logfileswillbecompressed。

共享脚本

拓扑结构

/ etc/init.d/syslogcondrestart/dev /空值21||真

结束脚本

}

本文：《“科技教程：LINUX安全加固”》