linux安全防护(linux安全防护)

发布时间:2023-06-23 14:50:14 发布人:hao333

一、账户安全1 1锁定系统中多余的自建账户检查方法:美国总统之行政命令 cat etc passwd 猫 etc 影子检查帐户和密码文件,并与系统管理员

一、账户安全

1.1锁定系统中多余的自建账户

检查方法:

美国总统之行政命令

#cat /etc/passwd

#猫/etc/影子

检查帐户和密码文件,并与系统管理员确认不必要的帐户。对于一些保留的系统伪账号如bin、sys、adm、uucp、lp、nuucp、hpdb、www、daemon等。可以根据需要登录。

备份方法:

# CP-p/etc/passwd/etc/passwd _ bak

# CP-p/etc/shadow/etc/shadow _ bak

加固方法:

使用passwd -l用户名锁定不必要的帐户。

使用passwd -u用户名解锁要恢复的帐户。

1.2设置系统密码策略

检查方法:

使用命令

#cat /etc/login.defs|grep PASS查看密码策略设置

备份方法:

CP-p/etc/log in . defs/etc/log in . defs _ bak

加固方法:

#vi /etc/login.defs修改配置文件

PASS_MAX_DAYS 90 #新创建用户密码的最大天数

PASS_MIN_DAYS 0 #使用新用户密码的最小天数

PASS_WARN_AGE 7 #提前提醒新创建用户密码到期的天数。

PASS_MIN_LEN 9 #最小密码长度9

1.3禁用超级用户而非超级用户。

检查方法:

#cat /etc/passwd查看密码文件。密码文件格式如下:

登录名:密码:用户标识:组标识:注释:主页目录:命令

登录名:用户名

密码:加密的用户密码。

User_ID:用户ID,(1 ~ 6000)如果用户ID=0,则该用户拥有超级用户权限。看看这里是否有多个ID=0。

Group_ID:用户组ID

评论:用户的全名或其他评论信息。

Home_dir:用户根目录

命令:用户登录后执行的命令。

备份方法:

# CP-p/etc/passwd/etc/passwd _ bak

加固方法:

使用passwd -l用户名锁定不必要的超级帐户。

使用passwd -u用户名解锁需要恢复的超级帐户。

风险:你需要和管理员确认这个超级用户的用途。

1.4限制苏灿作为根用户的用户。

检查方法:

#cat /etc/pam.d/su查看是否有类似auth required/lib/security/PAM _ wheel . so的配置条目。

备份方式:#cp -p /etc/pam.d /etc/pam.d_bak

加固方法:

#vi /etc/pam.d/su

在标题处添加:

需要授权/lib/security/PAM _ wheel . so group=wheel

这样,只有轮组的用户苏灿才能root。

#usermod -G10测试将测试用户添加到车轮组。

当系统认证出现问题时,首先要检查/var/log/messages或者/var/log/secure中的输出信息,根据这些信息判断用户账号的有效性。

做爱。如果因为PAM认证失败导致root无法登录,只能使用单用户或者救援模式进行调试。

1.5检查影子空心密码账户

检查方法:

# awk-F:“(==' '){ print }”/etc/shadow

备份方式:cp -p /etc/shadow /etc/shadow_bak

加固方法:锁定空密码账号,或者要求追加密码。

第二,最小化服务

2.1停止或停用与承载业务无关的服务。

检查方法:

# whor或runlevel查看当前的初始化级别

# chkconfig-list查看所有服务的状态

备份方法:记录要关闭的服务的名称。

加固方法:

# chkconfig-level service name on | off | reset设置服务在初始化级别启动时是否启动。

三。数据访问控制

3.1设置合理的初始文件权限。

检查方法:

#cat /etc/profile查看umask的值

备份方法:

# CP-p/etc/profile/etc/profile _ bak

加固方法:

#vi /etc/profile

umask=027

风险:新创建文件的默认权限将被修改。如果服务器是WEB应用程序,将仔细修改此项。

四。网络访问控制

4.1使用SSH进行管理

检查方法:

# PSAEF | grepshd检查此服务是否可用。

备份方法:

加固方法:

使用命令启动ssh服务。

#服务sshd启动

风险:改变管理员的使用习惯。

4.2设置访问控制策略以限制本机器的IP地址。

检查方法:

#cat /etc/ssh/sshd_config查看是否有AllowUsers的语句。

备份方法:

# CP-p/etc/ssh/sshd _ config/etc/ssh/sshd _ config _ bak

加固方法:

#vi /etc/ssh/sshd_config,添加以下语句

AllowUsers *@10.138。*.*这句话的意思是:只允许10.138.0.0/16网段内的所有用户通过ssh访问。

保存并重启ssh服务。

#服务sshd重启

风险:有必要确认可以由管理员管理的IP段。

4.3禁止root用户远程登录。

检查方法:

#cat /etc/ssh/sshd_config查看PermitRootLogin是否为no

备份方法:

# CP-p/etc/ssh/sshd _ config/etc/ssh/sshd _ config _ bak

加固方法:

#vi /etc/ssh/sshd_config

PermitRootLogin登录号

保存并重启ssh服务。

服务sshd重启

4.4有限信任主机

检查方法:

#cat /etc/hosts.equiv检查主机。

#cat /$HOME/。rhosts以查看其中的主机

备份方法:

# CP-p/etc/hosts . equiv/etc/hosts . equiv _ bak

#cp -p /$HOME/。rhosts /$HOME/。罗兹贝克

加固方法:

#vi /etc/hosts.equiv删除不必要的主机。

#vi /$HOME/。rhosts删除不必要的主机。

风险:在多机备份环境下,需要保留其他主机的可信IP。

4.5阻止登录横幅信息

检查方法:

#cat /etc/ssh/sshd_config查看文件中是否存在标题字段,或者标题字段是否为NONE。

#cat /etc/motd查看文件的内容,这些内容将作为标题信息显示给登录的用户。

备份方法:

# CP-p/etc/ssh/sshd _ config/etc/ssh/sshd _ config _ bak

#cp -p /etc/motd /etc/motd_bak

加固方法:

#vi /etc/ssh/sshd_config

无横幅

#vi /etc/motd

删除所有内容或更新您要添加的内容。

风险:无可见风险。

4.6防止误用Ctrl Alt Del来重启系统

检查方法:

# cat/etc/inittab | grep ctrl alt del查看输入行是否被注释。

备份方法:

# CP-p/etc/inittab/etc/inittab _ bak

加固方法:

#vi /etc/inittab

在行首添加注释符号“#”。

# ca:ctrl altdel:/sbin/shut down-T3-r now

动词(verb的缩写)用户认证

5.1设置账号锁定登录失败的次数和时间。

检查方法:

#cat /etc/pam.d/system-auth检查是否有任何auth required pam_tally.so条目的设置。

备份方法:

# CP-p/etc/PAM . d/system-auth/etc/PAM . d/system-auth _ bak

加固方法:

#vi /etc/pam.d/system-auth

需要验证PAM _ tally。soon err=fail deny=6 unlock _ time=300设置为连续锁定密码6次,锁定时间为300秒。

解锁用户失败日志-u用户名-r

风险:需要PAM包的支持;对pam文件的修改要仔细检查,一旦出现错误会导致无法登录;

当系统认证出现问题时,首先要检查/var/log/messages或者/var/log/secure中的输出信息,根据这些信息判断用户账号的有效性。

5.2修改账号TMOUT值,设置自动注销时间。

检查方法:

#cat /etc/profile检查是否有TMOUT的设置。

备份方法:

# CP-p/etc/profile/etc/profile _ bak

加固方法:

#vi /etc/profile

提高

TMOUT=600无操作600秒后自动退出

风险:无可见风险。

5.3 Grub/Lilo密码

检查方法:

# cat/etc/grub . conf | grep password查看grub是否设置了密码。

# cat/etc/lilo . conf | grep password检查lilo是否设置了密码。

备份方法:

# CP-p/etc/grub . conf/etc/grub . conf _ bak

# CP-p/etc/lilo . conf/etc/lilo . conf _ bak

强化:为grub或lilo设置密码

风险:etc/grub.conf通常链接到/boot /boot/grub/grub.conf

5.4限制FTP登录

检查方法:

#cat /etc/ftpusers确认是否包含用户名,不允许登录FTP服务。

备份方法:

# CP-p/etc/ftpusers/etc/ftpusers _ bak

加固方法:

#vi /etc/ftpusers添加行,每行包含一个用户名,添加的用户将被禁止登录FTP服务。

风险:无可见风险。

5.5设置Bash保留历史命令的数量。

检查方法:

#cat /etc/profile|grep HISTSIZE=

# cat/etc/profile | grepHistFileSize=查看要保留历史记录的命令数量。

备份方法:

# CP-p/etc/profile/etc/profile _ bak

加固方法:

#vi /etc/profile

修改HISTSIZE=5和HISTFILESIZE=5以保留五个新执行的命令。

不及物动词审计策略

6.1配置系统日志策略配置文件

检查方法:

# PSAEF | grep系统日志确认系统日志是否已启用。

#cat /etc/syslog.conf检查syslogd的配置,确认日志文件是否存在。

系统日志(默认)/var/log/messages

Cron日志(默认)/var/log/cron

安全日志(默认)/var/log/secure

备份方法:

大家都在看
Copyright © 2018-2020 郓城中悦电子信息有限公司 All rights reserved. 粤ICP备17024501号-2 技术:ZYY时尚网
鲁ICP备20017431号网址地图