“科技教程:LINUX安全加固”
现在,许多合作伙伴开始对加强linux的安全性感兴趣。 每一天看起来平静的日子,谁都会发生各种各样的故事。 大家现在都想知道这样的消息。 那么,现在大家想知道关于加强linux安全性的事情,有兴趣的伙伴请和我一起来看看。 我不会说无聊的话,但马上跟着编辑,一起看看吧。 我希望对你有帮助。
一.账户安全
1.1锁定系统中多余的自制帐户
检查方法:
执行命令
# # cat/etc /密码
#cat /etc/shadow
确认帐户、密码文件,向系统管理员确认不需要的帐户。 对于临时保存的系统(如bin、sys、adm、uucp、lp、nuucp、hpdb、www和daemon ),可以根据需要锁定登录。
备份方法:
# # CP-p/etc /密码/ etc /密码_ bak
# # CP-p/etc /阴影/ etc /阴影_背景
加强的做法:
指示使用passwd -l客户名称锁定不需要的帐户。
指示使用passwd -u的客户名称解除锁定要恢复的帐户。
1.2设置系统密码策略
检查方法:
采纳命令
# #查看#cat /etc/login.defs|grep pass密码策略设置
备份方法:
CP-P/ETC /登录.德芙/ ETC /登录.德芙_巴克
加强的做法:
#vi /etc/login.defs配置文件的更改
pass_max_days 90 #新客户的密码最长聘用天数
pass_min_days 0 #新客户的密码最短聘用天数
pass_warn_age 7 #新客户的密码到期提前警告天数
密码长度9 #最小密码长度9
1.3禁用root以外的超级用户
检查方法:
查看#cat /etc/passwd密码文件时,密码文件的样式如下:
登录名称:密码:用户id :组id :注释:主页:命令
登录名称:客户名称
密码:加密客户的密码
user_id :顾客id,(1 ~ 6000 )如果顾客id=0,则该顾客拥有超级顾客的权限。 确认这里是否有多个id=0。
组标识:客户组标识
comment :客户全名或其他评论新闻
home_dir :客户路线
command :客户登录后的执行命令
备份方法:
# # CP-p/etc /密码/ etc /密码_ bak
加强的做法:
使用命令passwd -l的客户名称锁定不需要的超级帐户。
指示使用passwd -u的客户名称解锁需要恢复的超级帐户。
风险:需要向管理员确认这个超级用户的用途。
限制能够将1.4su设为超级用户的客户
检查方法:
检查是否有类似#cat /etc/pam.d/su、要求自动验证/ lib /安全/ PAM _ wheel.so的配置项
备份方法: #cp -p /etc/pam.d /etc/pam.d_bak
加强的做法:
# # VI/etc/PAM.d /苏
添加到头部:
要求/库/安全/帕米_ wheel.so组= wheel
这样,只有wheel集团的客户才能从su前往root
#usermod -g10 test让test的顾客加入了wheel集团
如果系统验证出现问题,必须首先检查/var/log/messages或/var/log/secure的输出新闻,并根据这些新闻评估客户帐户的有效性
做爱。 如果root由于pam验证错误而无法登录,则只能在单用户或rescue模式下进行调试。
1.5在shadow上检查空密码帐户
检查方法:
#awk-f:'(== )打印) )/etc/Shadow
备份方法: cp -p /etc/shadow /etc/shadow_bak
加强措施:空锁定密码帐户或请求添加密码
二、最小化服务
2.1停止或禁用与承载业务无关的服务
检查方法:
# # who–r或runlevel显示当前的init级别
#chkconfig --list显示所有服务的状态
备份方法—记录需要停止服务的名称
加强的做法:
#chkconfig --level服务名on|off|reset配置服务是否在init级别启动
三、数据访问控制
3.1合理设置初始文件权限
检查方法:
显示# # # cat/etc /轮廓遮罩的值
备份方法:
# # CP-p/etc /轮廓/ etc /轮廓_ bak
加强的做法:
# # VI/etc /简档
umask=027
风险:创建新文件的默认权限将发生改变。 如果此服务是web应用程序,则此权限将被小心更改。
四、互联网访问控制
4.1通过ssh进行管理
检查方法:
# # PS–AEF|grep sshd检查是否有此服务
备份方法:
加强的做法:
使用命令启动ssh服务
# #服务固态硬盘开始
风险:改变管理者的招聘习性
4.2可以设定访问控制策略限制,管理本机的ip地址
检查方法:
检查有无# # cat/etc/ssh/sshd _ config allow users的文件
备份方法:
# # CP-P/ETC/SSH/SSHD _ config/ETC/SSH/SSHD _ config _ bak
加强的做法:
#vi /etc/ssh/sshd_config,添加以下语句
allowusers *@10.138.*.*此文件允许10.138.0.0/16网络段的所有客户通过ssh进行访问
在保留后重新启动ssh服务
# #服务固态硬盘重新启动
风险:需要与管理员确认可以管理的ip段
4.3禁止根客户端远程登录
检查方法:
检查# # cat/etc/ssh/sshd _ configpermitrootlogin是否为否
备份方法:
# # CP-P/ETC/SSH/SSHD _ config/ETC/SSH/SSHD _ config _ bak
加强的做法:
#vi /etc/ssh/sshd_config
权限登录号
在保留后重新启动ssh服务
服务固态硬盘重新启动
4.4受信任主机的限制
检查方法:
#cat /etc/hosts.equiv查看其中的主机
#cat /$home/.rhosts查看其中的主机
备份方法:
# # CP-P/ETC /主机. EQUIV/ETC /主机. EQUIV _ Bak
# # CP-p/$主机/.rhosts/$主机/.rhosts _ bak
加强的做法:
#vi /etc/hosts.equiv删除不需要的主机
#vi /$home/.rhosts删除不需要的主机
风险:在多台计算机相互准备的环境中,必须维护其他主机的ip可靠性。
4.5阻止登录banner新闻
检查方法:
检查#cat /etc/ssh/sshd_config文件中是否存在banner字段,或者banner字段是否为none
#cat /etc/motd将检查作为banner新闻登录的客户看到的文件副本。
备份方法:
# # CP-P/ETC/SSH/SSHD _ config/ETC/SSH/SSHD _ config _ bak
#cp -p /etc/motd /etc/motd_bak
加强的做法:
#vi /etc/ssh/sshd_config
班纳·诺尼
#vi /etc/motd
删除所有副本或更新到要添加的副本
风险:没有可见的风险
4.6错误地采用ctrl+alt+del以防止重新启动系统
检查方法:
# # cat/etc/inittab|grep ctrl alt del检查输入行是否已被注释
备份方法:
# # CP-p/etc/inittab/etc/inittab _ bak
加强的做法:
#vi /etc/inittab
在行的开头添加注释符号“#”
# # CA:: CTL alt Del:/ Sbin /关闭下一个- T3 -下一个
五、客户认证
5.1设置帐户锁定登录失败锁定次数、锁定时间
检查方法:
#cat /etc/pam.d/system-auth将检查是否有auth需求的PAM _ tally.so条目的设置
备份方法:
# # CP-p/etc/PAM.d /系统自动/ etc/PAM.d /系统自动_返回
加强的做法:
# # VI/etc/PAM.d /系统-自动
authrequiredpam _ tally.soonerr = fail deny =6unlock _ time = 300表示密码已连续锁定6次,锁定时间设置为300秒
客户故障记录- u客户名称-r的解锁
风险:需要pam包的支持pam文件的修订需要仔细检查,如果发生错误,将无法登录;
如果系统验证出现问题,必须首先检查/var/log/messages或/var/log/secure的输出新闻,并根据这些新闻评估客户帐户的比较有效性。
5.2更改帐户的tmout值,设置自动注销时间
检查方法:
确认有无#cat/etc/profiletmout的设定
备份方法:
# # CP-p/etc /轮廓/ etc /轮廓_ bak
加强的做法:
# # VI/etc /简档
增加
tmout=600无操作600秒后自动结束
风险:没有可见的风险
5.3 grub/lilo密码
检查方法:
确认# # cat/etc/grub.conf|greppasswordgrub是否设置了密码
确认# # # cat/etc/lilo.conf|greppasswordlilo是否设定了密码
备份方法:
# # CP-p/etc/grub.conf/etc/grub.conf _ bak
# # CP-p/etc/lilo.conf/etc/lilo.conf _ bak
加强措施:设置grub或lilo的密码
风险: etc/grub.conf通常链接到/boot/grub/grub.conf
5.4FTP登录限制
检查方法:
确认#cat/etc/ftpusersFTP服务中包含无法登录的顾客名称
备份方法:
# # CP-p/etc/ftpusers/etc/ftpusers _ bak
加强的做法:
添加#vi /etc/ftpusers行。 每行都包含客户名称,添加的客户将被禁止登录到ftp服务
风险:没有可见的风险
5.5设定bash保存历史记录命令的条数
检查方法:
# # cat/etc /轮廓| grep hist size =
# # cat/etc/profile|grep histfilesize =查看保存历史记录的命令数量
备份方法:
# # CP-p/etc /轮廓/ etc /轮廓_ bak
加强的做法:
# # VI/etc /简档
如果更改histsize=5和histfilesize=5,将保存最后五个命令
六、鉴定政策
6.1配置系统日志策略配置文件
检查方法:
确认# # PS–AEF|grepsyslogsyslog已启用
检查#cat/etc/syslog.confsyslogd的配置,确认日志文件是否存在
系统日志(默认) /变量/日志/消息
克隆日志(默认) /变量/日志/克隆
安全日志(默认) /变量/日志/安全
备份方法:
# # CP-p/etc /系统日志. conf
6.2为抽样生成的数据分配合理的存储空和存储时间
检查方法:
#cat /etc/logrotate.conf确认是否有系统轮询配置
# #旋转日志文件周
维基百科
# # keep 4后台唤醒
旋转4的构成
备份方法:
# # CP-p/etc/logrotate.conf/etc/logrotate.conf _ bak
加强的做法:
# # VI/etc /日志. d /系统日志
增加
rotate 4的日志文件剩余数量为4,在发生第5个日志后删除最旧的日志
size 100k中每个日志的大小
加强后请进行以下复制。
/var/log/syslog/*_log {
微软公司
通告空
size 100k # logfileswillberotatedwhentheygrowbiggerthat 100k。
rotate5# Willkeepthelogsfor5weeks
compress # logfileswillbecompressed。
共享脚本
拓扑结构
/ etc/init.d/syslogcondrestart/dev /空值21||真
结束脚本
}
本文:《“科技教程:LINUX安全加固”》
免责声明:雪球目录网免费收录各个行业的优秀中文网站,提供网站分类目录检索与关键字搜索等服务,本篇文章是在网络上转载的,本站不为其真实性负责,只为传播网络信息为目的,非商业用途,如有异议请及时联系btr2031@163.com,本站的工作人员将予以删除。