|簡體中文

比思論壇

 找回密碼
 按這成為會員
搜索



查看: 690|回復: 1
打印 上一主題 下一主題

linux安全加固

[複製鏈接]

989

主題

1

好友

5294

積分

教授

Rank: 8Rank: 8

  • TA的每日心情
    奮斗
    2024-10-17 01:09
  • 簽到天數: 1257 天

    [LV.10]以壇為家III

    推廣值
    2
    貢獻值
    378
    金錢
    1541
    威望
    5294
    主題
    989

    回文勇士 文明人 中學生 高中生 簽到勳章 簽到達人 男生勳章 大學生 文章勇士 附件高人 附件達人 文章達人 教授

    樓主
    發表於 2013-7-4 20:48:51
    1、帐号安全
    1.1 锁定系统中的自建帐号

    查看帐号:

    #cat /etc/passwd

    #cat /etc/shadow

    查看账户、口令文件,与系统管理员确认不必要的账号。对于一些保留的系统伪帐户如:bin, sys,adm,uucp,lp, nuucp,hpdb, www, daemon等可根据需要锁定登陆。

    在修改之前先备份一下,省的出问题:

    备份方法:

    #cp -p /etc/passwd /etc/passwd_bak

    #cp -p /etc/shadow /etc/shadow_bak

    加固方法:

    使用命令passwd -l <用户名>锁定不必要的账号。

    使用命令passwd -u <用户名>解锁需要恢复的账号。

    风险:需要与管理员确认此项操作不会影响到业务系统的登录

    1.2设置系统口令策略

    查看密码策略设置:cat /etc/login.defs|grep PASS

    修改之前先备份一下: cp -p /etc/login.defs /etc/login.defs_bak

    修改配置文件:vi /etc/login.defs

    文件内参数解释:

    PASS_MAX_DAYS 90         #新建用户的密码最长使用天数

    PASS_MIN_DAYS 0                #新建用户的密码最短使用天数

    PASS_WARN_AGE 7         #新建用户的密码到期提前提醒天数

    PASS_MIN_LEN 0                 #最小密码长度0

    PASS_MAX_LEN 9                #最大密码长度9

    1.3禁用root之外的超级用户

    查看口令文件:cat /etc/passwd

    属性解释:

    login_name:用户名

    password:加密后的用户密码

    user_ID:用户ID,(1 ~ 6000) 若用户ID=0,则该用户拥有超级用户的权限。查看此处是否有多个ID=0。

    group_ID:用户组ID

    comment:用户全名或其它注释信息

    home_dir:用户根目录

    command:用户登录后的执行命令

    加固方法与1.1的加固方法一样!

    1.4 限制能够su为root的用户

    修改 /etc/pam.d/su 文件 先备份:cp -p /etc/pam.d/su /etc/pam.d/su_bak

    在头部添加:auth required /lib/security/pam_wheel.so group=wheel #只有wheel组的可以su

    将test用户加入wheel组:usermod -G wheel test

    排错方法:当系统验证出现问题时,首先应当检查/var/log/messages或者/var/log/secure中的输出信息,根据这些信息判断用户账号的有效性。如果是因为PAM验证故障,而引起root也无法登录,只能使用single user或者rescue模式进行排错。

    2、最小化服务

    2.1 停止或禁用与承载业务无关的服务

    查看当前init级别  who -r 或者 runlevel

    查看所有服务的状态 chkconfig –list

    设置服务在个init级别下开机是否启动  chkconfig –level <服务名> on|off|reset

    注意:要安装chkconfig,radhat上面自带的有!

    3、数据访问控制

    修改umask的值 改变新建文件的安全属性

    备份:cp -p /etc/profile /etc/profile_bak

    修改umask=027

    作用:通过设置umask值,可以为新创建的文件和目录设置缺省权限

    风险:会修改新建文件的默认权限,如果该服务器是WEB应用,则此项谨慎修改。

    具体解释:请百度。。。。

    4、网络访问控制

    4.1 使用SSH进行管理

    查看服务是否开启: ps -aef|grep sshd

    开启服务:service sshd start

    关闭服务:service sshd stop

    重启服务:service sshd restart

    4.2设置访问控制策略限制能够管理本机的IP地址

    先备份文件:cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak

    修改文件:

    添加:AllowUsers *@10.138.*.*  #仅允许10.138.0.0/16网段所有用户通过ssh访问

    保存后,重启ssh。

    4.3 禁止root用户远程使用ssh

    修改文件/etc/ssh/sshd_config 将PermitRootLogin修改为yes

    记得修改之前要备份

    4.4 限定信任主机

    修改/etc/hosts.allow,添加一下代码:

    sshd:192.168.0.100:allow //允许IP 192.168.0.100 登录

    sshd:192.168.10.:allow //允许IP 192.168.10. 网段登录

    修改/etc/hosts.deny,添加一下代码

    sshd:all:deny //禁止其他的所有IP登录

    4.5防止误使用Ctrl+Alt+Del重启系统

    修改/etc/init/control-alt-delete.conf 文件,将最后一行:

    exec /sbin/shutdown -r now “Control-Alt-Delete pressed” 注释掉就可以了

    5、用户鉴别

    5.1设置帐户锁定登录失败锁定次数、锁定时间

    修改文件/etc/pam.d/system-auth  添加一行:

    auth required pam_tally.so onerr=fail deny=6 unlock_time=300

    #设置为密码连续错误6次锁定,锁定时间300秒

    用户锁定后,解锁:faillog -u <用户名> -r

    风险:需要PAM包的支持;对pam文件的修改应仔细检查,一旦出现错误会导致无法登陆;  当系统验证出现问题时,首先应当检查/var/log/messages或者/var/log/secure中的输出信息,根据这些信息判断用户账号的有效性。

    5.2 修改帐户TMOUT值,设置自动注销时间

    修改/etc/profile文件

    在”HISTFILESIZE=”后面加入下面这行,添加:TMOUT=600   #表示无操作600秒后自动退出

    5.3设置Bash保留历史命令的条数

    修改/etc/profile文件的HISTSIZE的值,自己设定

    6、审计策略

    6.1 配置系统日志策略配置文件

    查看syslog是否启动:ps -aef | grep syslog

    查看rsyslogd的配置,并确认日志文件是否存在:cat /etc/rsyslog.conf

    6.2审计产生的数据分配合理的存储空间和存储时间

    查看系统轮询配置:cat /etc/logrotate.conf

    一些属性:

    rotate 4 日志文件保存个数为4,当第5个产生后,删除最早的日志

    size 100k 每个日志的大小
    重要聲明:本論壇是以即時上載留言的方式運作,比思論壇對所有留言的真實性、完整性及立場等,不負任何法律責任。而一切留言之言論只代表留言者個人意見,並非本網站之立場,讀者及用戶不應信賴內容,並應自行判斷內容之真實性。於有關情形下,讀者及用戶應尋求專業意見(如涉及醫療、法律或投資等問題)。 由於本論壇受到「即時上載留言」運作方式所規限,故不能完全監察所有留言,若讀者及用戶發現有留言出現問題,請聯絡我們比思論壇有權刪除任何留言及拒絕任何人士上載留言 (刪除前或不會作事先警告及通知 ),同時亦有不刪除留言的權利,如有任何爭議,管理員擁有最終的詮釋權。用戶切勿撰寫粗言穢語、誹謗、渲染色情暴力或人身攻擊的言論,敬請自律。本網站保留一切法律權利。

    手機版| 廣告聯繫

    GMT+8, 2024-11-1 08:34 , Processed in 0.032034 second(s), 15 queries , Gzip On, Memcache On.

    Powered by Discuz! X2.5

    © 2001-2012 Comsenz Inc.

    回頂部