suse LINUX常用的安全加固措施

SUSE Linux系统安全配置十条SUSE由于其出色的性能和对安全较好的控制，吸引了很多企业级用户，目前在国内开始有大量的关键应用。

但这并不代表SUSE 在使用中就是安全的，SUSE里还有很多安全细节要注意。

本文就SUSE中的这些安全细节进行逐一介绍，为大家揭开每一个需要注意的地目录1. 补丁、SSH及其它 (3)2. 最小化xinetd (4)3. 最小化启动服务 (5)4. 内核优化 (8)5. 日志 (8)6. 文件权限许可 (9)7. 系统的管理、授权、认证 (10)8. 用户账户和环境 (12)9. 杀毒 (13)10. 其它安全配置 (14)1.补丁、SSH及其它1.1 补丁说明：每个补丁的更新都意味着这是一个安全漏洞，或是有其他严重的功能问题，但如果更新补丁则又可能导致系统的一些异常，甚至引起一些服务的瘫痪。

所以对于补丁的更新要慎重处理。

从实际的角度来说，有4种做法：1）是在刚装完系统之后立刻更新补丁，然后再上应用。

2）是通过外围防护手段来保护服务器，可以用防火墙、IPS之类的手段。

3）是在测试机上更新补丁。

不过值得注意的是，有些补丁带来的问题是隐性的，可能今天明天没问题，但后天出了问题，所以，观察的时间需要久一些。

4）如果你的SUSE服务器比较多，也可以通过NFS共享或者内部的FTP、HTTP服务来完成。

但FTP、HTTP又会带来另外的安全风险。

SUSE的补丁升级，需要去下载Novell 的新RPM。

RPM包的安装会有先有后，不过多数情况下，RPM会根据其依赖关系来处理。

另外，Novell也有一些在特殊情况下的提示，比如内核更新、C运行库等。

Novell 公司提供了一个强大的工具YaST，不过遗憾的是，YaST自身也不安全，有在线升级不安全临时文件建立漏洞。

加固方法：输入yast，在software中选择online update。

1.2 SSHSUSE上默认安装了OpenSSH，OpenSSH是目前比较流行并且免费的加密连接工具，但OpenSSH的低版本也存在不少安全漏洞，所以最好还是去下载最新版本的。

如何进行Linux系统安全加固一、用户和权限管理1、最小权限原则为每个用户分配完成其工作所需的最小权限。

避免为用户授予不必要的 root 权限或其他高级权限。

例如，如果一个用户只需要读取某些文件，就只赋予其读取权限，而不是写入和执行权限。

2、删除不必要的用户和组定期审查系统中的用户和组，删除那些不再使用或未经授权的用户和组。

这可以减少潜在的攻击面。

3、密码策略实施强密码策略，要求用户使用包含大小写字母、数字和特殊字符的复杂密码，并定期更改密码。

可以通过修改｀／etc/logindefs` 文件来设置密码的有效期、最小长度等参数。

4、限制 root 登录尽量避免直接使用root 用户登录系统。

可以通过配置｀sudo` 命令，允许普通用户在必要时以 root 权限执行特定的命令。

二、系统更新和补丁管理1、启用自动更新确保系统能够自动获取并安装安全补丁和更新。

对于大多数主流的Linux 发行版，都提供了相应的工具和配置选项来实现这一点。

2、定期检查更新即使启用了自动更新，也应该定期手动检查系统是否有可用的更新，并及时安装重要的安全补丁。

3、测试更新在将更新应用到生产环境之前，先在测试环境中进行测试，以确保更新不会导致系统出现兼容性问题或其他故障。

三、防火墙配置1、安装和启用防火墙Linux 系统通常提供了内置的防火墙工具，如｀iptables` 或｀firewalld`。

安装并启用防火墙，根据实际需求配置允许的入站和出站连接。

2、定义规则制定详细的防火墙规则，只允许必要的服务和端口通过防火墙。

例如，如果您的服务器只提供 Web 服务，那么只开放 80（HTTP）和443（HTTPS）端口。

3、监控和日志记录配置防火墙以记录所有的连接尝试和阻止的数据包，定期查看防火墙日志，以便及时发现潜在的攻击或异常活动。

四、服务管理1、禁用不必要的服务关闭那些不需要的系统服务，减少系统的攻击面。

可以通过查看服务的配置文件或使用系统管理工具来禁用不必要的服务。

1、ssh登录限制：a、限制root用户登录：#vim/etc/ssh/sshd_config##编辑sshd配置文件，找到如下一行，将前面注释取消，变改yes为no #PermitRootLoginyesPermitRootLoginnob、限制其他用户登录：同样打开上述配置文件，在最后加入允许登录的用户即可，其他未允许的将不能登录AllowUsers用户a用户b用户c也可以用AllowGroups指定允许的组，不过这个组指的是“主组”，即/etc/passwd 文件中指定的组。

如：AllowGroupsoinstall完成上述两条修改后，重启sshd服务后，将只用a、b、c和主组为oinstall的用户才能使用ssh远程登录。

2、限制一般用户使用su或sudo：a、将特定管理用户加入wheel组（只有wheel组里的用户才能用su）：#usermod-Gwheel用户名b、#vim/etc/pam.d/su←打开这个配置文件找到这句话在第六行将其前面的#注释掉#authrequiredpam_wheel.souse_uidauthrequiredpam_wheel.souse_uidc、#echo"SU_WHEEL_ONLYyes">>/etc/login.defs完成后没有加入wheel组的用户将无法使用su，即使输入正确的密码，也会提示密码错误。

d、在root用户下输入visudo编辑sudo文件，找到如下一行，取消注释：#%wheelALL=(ALL)ALL%wheelALL=(ALL)ALL保存并退出后，wheel组下的用户就能使用sudo命令了。

3、配置sudo，给相应用户相应权限在root用户下执行visudo命令即可编辑，根据情况赋予用户相应权限，以最小化权限为要求。

visudo我有文章专门介绍，这里就不再复述。

4、关闭不需要的服务（最小化服务）a、关闭IPv6支持在/etc/modprobe.d/dist.conf结尾添加aliasnet-pf-10offaliasipv6offb、根据需要关闭不需要的服务cups打印支持服务，服务器不需要，关闭atd指定时间执行命令，一般用crond，可以关闭auditd不用selinux，可以关闭autofs文件系统自动加载和卸载，不需要可以关闭avahi-daemon本地网络服务查找对服务器无用，可以关闭bluetooth蓝牙无线通讯对服务器无用，关闭cups打印服务ip6tables如果关闭了IPv6支持，关闭netfs如果不用NFS文件系统，可以关闭nfslock同上rpcgssd同上rpcidmapd同上saslauthdSASL认证服务，关闭其他相关服务视具体情况关闭，可以通过命令netstat-tnlp看那些服务开放了端口，不需要的都关闭。

Linux系统的系统安全加固和防护工具随着互联网的高速发展，网络安全问题已经成为了摆在我们面前的一道重要课题。

而Linux作为一种开源操作系统，市场份额逐渐提升，因其高度的自由度和可定制性，结果也导致Linux系统成为了攻击者的主要目标之一。

为了更好地保护我们的系统，我们需要对Linux系统进行加固和防护。

本文将介绍一些常用的Linux系统安全加固和防护工具。

一、SELinux（Security-Enhanced Linux）SELinux是由NSA（美国国家安全局）开发的一种强制访问控制（MAC）机制。

它通过标签安全策略和强制访问控制实现了对进程和文件的访问控制。

在默认情况下，SELinux是被禁用的，但可以通过一些工具来启用它，如semanage和setenforce。

启用SELinux可以增加系统的安全性，限制进程的权限，减少系统被恶意程序攻击的机会。

二、AppArmorAppArmor是一种用于限制进程权限的安全模块。

它通过定义进程的权限策略，限制其对文件、网络和其他系统资源的访问。

AppArmor使用简单，可以通过修改配置文件来指定进程的权限，同时还提供了一些工具来管理和监控权限策略。

通过使用AppArmor，我们可以有效地阻止恶意程序对系统的攻击，保护重要的系统文件和数据。

三、Fail2BanFail2Ban是一种基于日志监控的入侵防御工具。

它可以监控SSH、FTP、Apache等服务的日志文件，检测恶意登录尝试和其他异常行为，并采取相应的措施，如暂时封锁攻击者的IP地址。

Fail2Ban功能强大且易于使用，可以有效地防止暴力破解和恶意访问。

同时，Fail2Ban还提供了详细的日志记录和报告功能，方便管理员进行安全审计。

四、TripwireTripwire是一种用于文件完整性监控的工具。

它通过计算文件的散列值（hash）并与预先保存的散列值进行比对，来检测文件是否被篡改。

Tripwire可以监控系统的关键文件和目录，当文件被篡改时，可以及时地发出警报。

Linux系统的系统安全加固和防护措施随着信息技术的飞速发展，网络安全问题日益凸显。

作为一种开放源代码操作系统，Linux系统广泛应用于互联网服务器等重要领域，其系统安全加固和防护措施显得尤为重要。

本文将重点探讨Linux系统的系统安全加固和防护措施。

一、操作系统的安全加固1. 更新操作系统和软件版本：经常检查并更新操作系统和软件的最新版本，以获取最新的安全补丁和功能更新。

同时，及时删除不再使用的软件和插件，减少潜在的漏洞。

2. 强化账户和密码策略：对超级用户（root）账户和其他普通账户设定复杂的密码，并定期更换密码。

此外，禁止使用弱密码和常见密码，提高系统的安全性。

3. 配置文件权限设置：限制普通用户对系统核心配置文件的访问权限，避免恶意代码或攻击者利用改动配置文件来破坏系统稳定性。

4. 禁用不必要的服务和端口：检查系统中运行的服务和开放的端口，禁用不必要的服务和端口，减少系统的攻击面。

5. 安装防火墙：配置和启动防火墙，限制进出系统的网络流量，防止外部攻击和恶意流量的入侵。

二、访问控制和权限管理1. 用户权限管理：为每个用户分配合适的权限，限制其对系统资源和敏感文件的访问。

使用sudo（superuser do）命令，授予合适的特权给普通用户，降低系统被滥用的风险。

2. 使用访问控制列表（ACL）：通过使用ACL实现对文件和目录的详细权限控制，限制除所有者和管理员外的其他用户对文件的访问与修改。

3. 文件加密：通过使用加密文件系统或单独对敏感文件进行加密，保护数据的机密性，即使系统受到攻击，攻击者也无法窃取敏感信息。

三、日志和监控1. 日志管理：配置系统日志以记录关键事件和错误信息。

定期检查系统日志，及时发现异常和潜在威胁，并采取相应措施进行应对。

2. 实施入侵检测系统（IDS）和入侵防御系统（IPS）：部署IDS和IPS来监控系统的网络流量和行为，及时识别并阻止潜在的攻击。

3. 安全审计：进行定期的系统安全审计，发现系统中的安全漏洞和风险，及时加以修复和改进。

摘要：Linux是常作为服务器的系统，其系统安全不容忽视.然而加固系统又不是一件很容易的事.本文简单介绍了一下提升Linux 系统安全的几个方面。

关键词：Linux；安全性Linux系统安全是作为网站、系统运维必须要重视的部分，众所周知，就安全性而言，Linux相对于Windows具有更多的优势。

但是，不管选择哪一种Linux发行版本，在安装完成以后都应该进行一些必要的配置，来增强它的安全性。

对Linux系统的安全加固包括许多方面，下面仅就几个常用的策略做些介绍、讨论。

1.取消不必要的服务和端口任何网络连接都是通过开放的应用端口来实现的。

如果尽可能少地开放端口，就使网络攻击变成无源之水，从而大大减少了攻击者成功的机会。

Linux系统在/etc/rc.d/init.d下定义了很多的系统服务向用户提供，默认情况下这些服务大多都是随机启动，但是很多服务一般是不需要的，或者是没有进行配置就根本不起作用的，但由于设置成随机启动，在内核加载进内存开始运行后会花时间启动这些服务相应的进程从而大大降低开机速度，所以可以通过关闭这些服务从而加快开机速度。

在Linux中有两种不同的服务型态：一种是仅在有需要时才执行的服务，如finger服务；另一种是一直在执行的永不停顿的服务。

这类服务在系统启动时就开始执行，因此不能靠修改inetd来停止其服务，而只能从修改/etc/rc.d/rc[n].d/文件或用Run level editor去修改它。

提供文件服务的NFS服务器和提供NNTP新闻服务的news都属于这类服务。

不同的GNU linux版本的系统服务大都一样，但是也会有一些小区别，一般都提供50个左右的服务。

把Linux作为专用服务器是个明智的举措。

例如，希望Linux成为的Web服务器，可以取消系统内所有非必要的服务，只开启必要服务。

这样做可以尽量减少后门，降低隐患，而且可以合理分配系统资源，提高整机性能。

inetd除了利用/etc/inetd.conf设置系统服务项之外，还利用/etc/services文件查找各项服务所使用的端口。

★Linux系统深度安全加固author:ayazero drdos@Personal web -- Team's site -- 注：以下内容可能不适用于某些场合，请对号入座1.安装和升级尽量选用最新的Linux发行版本,安装前拔掉网线,断开物理连接,安装时建议用custom自定义方式安装软件包，数量以少为好，一般来说服务器没有必要安装X-windows,在lilo/grub引导器中加入口令限制，防止能够物理接触的恶意用户因为Linux安装光盘的rescue模式可以跳过这个限制，所以还要给bios加上密码或服务器机箱上锁/var,/home,/usr,/root等目录用独立的物理分区,防止垃圾数据和日志填满硬盘而导致D.o.S攻击.root账号给予强壮的口令.安装完毕立即用up2date或apt升级系统软件,有时升级内核也是必要的,因为内核出现问题同样会给攻击者提供机会Apt是Debian GNU Linux下的一个强大的包管理工具,也可用于其他版本的Linux.2.账号如果系统中的用户比较多,可以编辑/etc/login.defs,更改密码策略删除系统中不必要帐户和组,[root@ayazero /]# userdel -r username如果不开匿名ftp则可以把ftp账号也删了最安全的方式是本地维护,可惜不太现实,但还是需要限制root的远程访问,管理员可以用普通账户远程登录,然后su到root,我们可以把使用su的用户加到wheel组来提高安全性在/etc/pam.d/su文件的头部加入下面两行：auth sufficient /lib/security/pam_rootok.so debugauth required /lib/security/pam_wheel.so group=wheel然后把可以执行su的用户放入wheel组[root@ayazero /]# usermod -G10 admin编辑/etc/securetty,注释掉所有允许root远程登录的控制台,然后禁止使用所有的控制台程序,[root@ayazero /]# rm -f /etc/security/console.apps/servicename登录采用加密的ssh,如果管理员只从固定的终端登陆,还应限制合法ssh客户端的范围防止嗅探及中间人攻击将命令历史纪录归为零,尽可能的隐藏你做过的事情[root@ayazero /]# unset HISTFILESIZE3.服务最少服务原则,凡是不需要的服务一律注释掉在/etc/inetd.conf中不需要的服务前加"#",较高版本中已经没有inetd而换成了Xinetd;取消开机自动运行服务,把/etc/rc.d/rc3.d下不需要运行的服务第一个字母大写改称小写,或者由setup命令启动的GUI界面中的service更改如果你希望简单一点,可以使用/etc/host.allow,/etc/host.deny这两个文件,但是本文计划用iptables防火墙,所以不在此详述.4.文件系统权限找出系统中所有含"s"位的程序,把不必要得"s"位去掉,或者把根本不用的直接删除[root@ayazero /]# find / -type f ( -perm -04000 -o -perm -02000 ) -exec ls -lg {}[root@ayazero /]# chmod a-s filename防止用户滥用及提升权限的可能性把重要文件加上不可改变属性[root@ayazero /]# chattr +i /etc/passwd[root@ayazero /]# chattr +i /etc/shadow[root@ayazero /]# chattr +i /etc/gshadow[root@ayazero /]# chattr +i /etc/group[root@ayazero /]# chattr +i /etc/inetd.conf[root@ayazero /]# chattr +i /etc/httpd.conf ...............................具体视需要而定,我怀疑现在的入侵者都知道这个命令,有些exploit溢出后往inetd.conf写一条语句绑定shell在一个端口监听,此时这条命令就起了作用,浅薄的入侵者会以为溢出不成功.找出系统中没有属主的文件:[root@ayazero /]# find / -nouser -o -nogroup找出任何人都有写权限的文件和目录:[root@ayazero /]# find / -type f ( -perm -2 -o -perm -20 ) -exec ls -lg {} [root@ayazero /]# find / -type d ( -perm -2 -o -perm -20 ) -exec ls -ldg {} 防止入侵者向其中写入木马语句(诸如一个shell的拷贝)或继承属主权限而非法访问找出并加固那些历来被入侵者利用的文件,比如.rhosts编辑/etc/security/limits.conf,加入或改变如下行:* hard core 0* hard rss 5000* hard nproc 205.Banner伪装入侵者通常通过操作系统，服务及应用程序版本来攻击，漏洞列表和攻击程序也是按此来分类，所以我们有必要作点手脚来加大入侵的难度更改/etc/issue，因为reboot后重新加载，所以编辑/ect/rc.d/rc.local# This will overwrite /etc/issue at every boot. So, make any changes you# want to make to /etc/issue here or you will lose them when you reboot.#echo "" > /etc/issue#echo "$R" >> /etc/issue#echo "Kernel $(uname -r) on $a $(uname -m)" >> /etc/issue##cp -f /etc/issue /etc/#echo >> /etc/issue把以上行前的"#"去掉Apache不回显版本：apache的配置文件，找到ServerTokens和ServerSignature两个directive,修改默认属性：#ServerTokens FullServerTokens Prod <----------#ServerSignature OnServerSignature Off <----------修改uname拿出uname.c的源码，找到如下行print_element (PRINT_SYSNAME, name.sysname);//操作系统名如linuxprint_element (PRINT_NODENAME, name.nodename);//主机名print_element (PRINT_RELEASE, name.release);//发行版本，如：2.4.20-18print_element (PRINT_VERSION, name.version);//print_element (PRINT_MACHINE, name.machine);//机器类型，如i686print_element (PRINT_PROCESSOR, processor);//处理器类型可以修改为print_element (PRINT_SYSNAME,"HP-UX");.......编译后替换/bin/uname其他服务及程序的修改可以查看其配置文件或者源码不要改太多，否则会给系统管理带来大麻烦。

Suse Linux主机安全加固操作指导目录1实施前准备 (2)1.1系统检查 (2)1.2业务检查 (3)1.3备份 (3)2加固实施 (3)2.1安全要求-设备-SUSE LINUX-配置-1 (4)2.2安全要求-设备-SUSE LINUX-配置-2 (4)2.3安全要求-设备-SUSE LINUX-配置-3 (5)2.4安全要求-设备-SUSE LINUX-配置-4-可选 (6)2.5安全要求-设备-SUSE LINUX-配置-5-可选 (7)2.6安全要求-设备-SUSE LINUX-配置-4 (8)2.7安全要求-设备-SUSE LINUX-配置-5 (9)2.8安全要求-设备-SUSE LINUX-配置-6-可选 ............................ 错误！未定义书签。

2.9安全要求-设备-SUSE LINUX-配置-7-可选 (9)2.10安全要求-设备-SUSE LINUX-配置-9 (10)2.11安全要求-设备-SUSE LINUX-配置-12-可选 (11)2.12安全要求-设备-SUSE LINUX-配置-13-可选 (12)2.13安全要求-设备-SUSE LINUX-配置-12 (12)2.14安全要求-设备-SUSE LINUX-配置-15-可选 (13)2.15安全要求-设备-SUSE LINUX-配置-24-可选 (13)2.16安全要求-设备-SUSE LINUX-配置-14-可选 (14)2.17安全要求-设备-SUSE LINUX-配置-18-可选 (14)2.18安全要求-设备-SUSE LINUX-配置-19-可选 (15)2.19安全要求-设备-SUSE LINUX-配置-17-可选 (15)2.20安全要求-设备-SUSE LINUX-配置-21-可选 (16)2.21安全要求-设备-SUSE LINUX-配置-22-可选 (17)2.22安全要求-设备-SUSE LINUX-配置-23-可选 (18)2.23安全要求-设备-SUSE LINUX-配置-24-可选 (19)2.24安全要求-设备-SUSE LINUX-配置-19-可选 (19)2.25安全要求-设备-SUSE LINUX-配置-20-可选 (20)2.26安全要求-设备-SUSE LINUX-配置-27-可选 (20)2.27安全要求-设备-SUSE LINUX-配置-28-可选 ...................... 错误！未定义书签。

服务器操作系统安全加固在当今数字化时代，服务器的安全性是至关重要的。

服务器操作系统作为承载着企业和个人敏感数据的核心系统，安全加固是确保服务器免受外部威胁的关键措施之一。

本文将介绍一些服务器操作系统安全加固的方法，以保护服务器免受恶意攻击和数据泄露的威胁。

1. 更新操作系统服务器操作系统供应商会定期发布安全更新和补丁程序，以修复已知的漏洞和弱点。

及时应用这些更新非常重要，因为黑客往往会利用已知漏洞入侵系统。

管理员应当建立一个自动更新系统的流程，确保服务器始终运行最新版本的操作系统和相关组件。

2. 配置强密码策略强密码是服务器安全的基石。

管理员应要求用户使用长、复杂的密码，并定期更换密码。

此外，禁用默认用户名和密码，尽量避免使用常见用户名和密码组合，以提高服务器的安全性。

3. 启用防火墙防火墙是服务器安全的第一道屏障，可以监控和过滤网络流量。

管理员应确保服务器上的防火墙已正确配置，只允许必要的端口和协议通过。

定期审查和更新防火墙规则，确保服务器始终受到适当的保护。

4. 安装安全更新和防病毒软件安全更新和防病毒软件可以帮助防止恶意软件和病毒感染服务器。

定期更新这些软件非常重要，以确保其能够及时识别和阻止新的威胁。

管理员还应当定期扫描服务器，以检查潜在的安全风险和恶意软件。

5. 配置访问控制策略服务器上的访问控制策略应当仔细配置，以限制对敏感数据和系统资源的访问。

管理员应当实施最小权限原则，仅赋予用户所需的权限。

此外，应定期审查和更新访问控制策略，以适应组织内部和外部的变化。

6. 使用加密传输使用加密传输可以有效保护服务器和用户之间的敏感数据传输。

管理员应当配置服务器以使用安全协议，如SSL/TLS，以确保数据在传输过程中得到加密。

此外，还应当禁用不安全的协议和加密算法，以防止潜在的安全漏洞。

7. 定期备份数据定期备份数据是防止数据丢失和恶意攻击的重要手段。

管理员应制定定期备份策略，并确保备份的数据存储在安全的地方。

Linux命令行中的系统安全加固技巧与常用命令在当今信息化社会，保障系统的安全性显得尤为重要。

针对Linux操作系统，本文将介绍一些命令行下的系统安全加固技巧以及常用命令，帮助读者加强对系统的保护，并提高信息安全等级。

一、密码设置与管理1. 密码策略在Linux系统中，合理的密码策略能够大大提高系统的安全性。

根据实际需求，可以通过以下命令设置密码策略：- passwd命令：用于修改用户密码。

指定密码的复杂度和有效期是保证密码安全的重要手段。

- chage命令：可用于设置用户密码过期时间，强制要求用户定期修改密码。

2. 增强登录认证为了增加系统的登录认证复杂度，可以通过以下命令加固：- SSH密钥认证：使用公钥/私钥机制进行认证，禁用明文密码登录。

- 使用强制访问控制（PAM）：PAM模块提供了一套强大的验证机制，可限制用户对系统的访问。

二、文件和目录权限管理1. 修改文件权限在Linux系统中，通过chmod命令可以修改文件和目录的权限，从而加强对系统文件的保护。

例如，使用chmod命令将敏感文件的权限设置为只读，可以通过以下命令实现：```chmod 400 filename```2. 防止恶意修改系统文件为了防止恶意修改系统文件，可以通过以下命令：- 使用只读文件系统（read-only filesystem）：将系统目录设置为只读，提高系统的安全性。

- 使用文件完整性检查工具（如AIDE）：对系统文件进行定期检查，及时发现任何潜在的被修改的迹象。

三、网络安全加固1. 配置防火墙防火墙可以有效限制网络访问，并过滤恶意流量。

Linux系统中，可以通过以下命令配置防火墙：- iptables命令：一种灵活且功能强大的防火墙工具，可以定义不同的规则进行网络访问控制。

2. 禁止不必要的服务为了减少系统暴露在外部网络中的风险，可以禁止不必要的服务。

通过以下命令查看当前正在运行的服务：```service --status-all```然后可以使用以下命令关闭不需要的服务：```service service_name stop```四、日志管理1. 配置日志审计日志审计是系统安全监控的重要手段。

(SUSE Linux)_主机安全加固操作指导目录1 文档使用说明 (3)1.1 适用范围 (3)2 实施前准备 (3)2.2 系统检查 (4)2.3 业务检查 (4)2.4 备份 (4)3 加固实施 (6)3.1 帐号 (6)3.1.1 SEC-SUSE-ACCT-01-设置专用维护帐号 (6)3.1.2 SEC-SUSE-ACCT-02-锁定/删除无用帐号 (8)3.1.3 SEC-SUSE-ACCT-03-用户帐号分组 (9)3.2 口令 (10)3.2.1 SEC-SUSE-PWD-01-配置用户口令复杂度 (10)3.2.2 SEC-SUSE-PWD-02-配置用户口令期限 (11)3.2.3 SEC-SUSE-PWD-03-配置用户口令重复使用次数 (13)3.2.4 SEC-SUSE-PWD-04-配置用户认证失败锁定策略 (14)3.3 服务 (16)3.3.1 SEC-SUSE-SVC-01-查看开放系统服务端口 (16)3.3.2 SEC-SUSE-SVC-02-禁用无用inetd/xinetd服务 (17)3.3.3 SEC-SUSE-SVC-03-配置NTP时间同步 (18)3.3.4 SEC-SUSE-SVC-04-停用NFS服务 (19)3.3.5 SEC-SUSE-SVC-05-禁用无关启动服务 (21)3.3.6 SEC-SUSE-SVC-06-修改SNMP默认团体名 (22)3.4 访问控制 (24)3.4.1 SEC-SUSE-AUTH-01-限制关键文件和目录访问权限 (24)3.4.2 SEC-SUSE-AUTH-02-设置用户文件默认访问权限 (25)3.4.3 SEC-SUSE-AUTH-03-设置EEPROM密码 (26)3.4.4 SEC-SUSE-AUTH-04-使用SSH代替TELNET远程登陆 (26)3.4.5 SEC-SUSE-AUTH-05-限制ROOT远程登录 (27)3.4.6 SEC-SUSE-AUTH-06-限制用户FTP登录 (29)3.4.7 SEC-SUSE-AUTH-07-限制FTP用户登录后能访问的目录 (30)3.4.8 SEC-SUSE-AUTH-08-设置终端超时退出时间 (31)3.4.9 SEC-SUSE-AUTH-09-设置图形界面超时退出时间 (32)3.4.10 SEC-SUSE-AUTH-10-限制允许登录到设备的IP地址范围 (33)3.4.11 SEC-SUSE-AUTH-11-设置FTP用户登录后对文件、目录的存取权限 (34)3.4.12 SEC-SUSE-AUTH-12-取消所有文件“系统文件”属性 (35)3.4.13 SEC-SUSE-AUTH-13-禁止ctrl+alt+del (36)3.5 日志审计 (37)3.5.1 SEC-SUSE-LOG-01-记录用户登录信息 (37)3.5.2 SEC-SUSE-LOG-02-开启系统记帐功能 (38)3.5.3 SEC-SUSE-LOG-03-记录系统安全事件 (39)3.5.4 SEC-SUSE-LOG-04-日志集中存放 (41)3.5.5 SEC-SUSE-LOG-05-记录用户SU命令操作 (42)3.5.6 SEC-SUSE-LOG-06-系统服务日志 (42)3.6 登陆显示 (44)3.6.1 SEC-SUSE-BANNER-01-设置登录成功后警告Banner (44)3.6.2 SEC-SUSE-BANNER-02-设置ssh警告Banner (44)3.6.3 SEC-SUSE-BANNER-03-更改telnet警告Banner (45)3.6.4 SEC-SUSE-BANNER-04-更改ftp警告Banner (46)3.7 IP协议 (47)3.7.1 SEC-SUSE-IP-01-禁止ICMP重定向 (47)3.7.2 SEC-SUSE-IP-02-关闭网络数据包转发 (48)3.8 内核参数 (49)3.8.1 SEC-SUSE-KERNEL-01-防止堆栈缓冲溢出 (49)3.9 补丁/软件 (50)3.9.1 SEC-SUSE-SW-01-安装OS补丁 (50)4 实施后验证 (51)4.1 系统检查 (51)4.2 启动双机和业务 (51)4.3 业务检查 (51)5 风险回退 (52)5.1 故障信息收集： (52)5.2 系统恢复： (54)1 文档使用说明1.1 适用范围1.适用OS版本：SLES 9，SLES 10SLES：SUSE Linux Enterprise Edition2.适用人员：一线维护工程师和安全专业服务工程师。

INFORMATION TECHNOLOGY 信息化建设摘要：论文以实际生产环境为案例，探究Linux操作系统安全加固方面的相关问题和解决办法，以实现信息安全，保障生产安全稳定运行。

关键词：Linux；安全加固；操作系统一、前言Linux操作系统是一款类Unix操作系统，由于其良好而稳定的性能在我厂的计算机应用服务器中得到广泛的应用。

网络科技的快速发展，使得关于网络安全的问题，日益突显出来，而惟有确保安全可靠的服务器操作系统，才能从最根本上保障生产应用和生产数据的安全。

二、安全隐患及加固措施（一）用户账户以及登录安全1.删除多余用户和用户组。

Linux是多用户操作系统，存在很多种不一样的角色系统账号，当安装完成操作系统之后，系统会默认为未添加许用户组及用户，若是部分用户或是用户组不需要，应当立即删除它们，否则黑客很有可能利用这些账号，对服务器实施攻击。

具体保留哪些账号，可以依据服务器的用途来决定。

2.关闭不需要的系统服务。

操作系统安装完成之后，其会在安装的过程当中，会自主的启动各种类型的服务程序内容，对于长时间运行的服务器而言，其运行的服务程序越多，则系统的安全性就越低。

所以，用户或是用户组就需要将一些应用不到的服务程序进行关闭，这对提升系统的安全性能，有着极大的帮助[1]。

3.密码安全策略。

在Linux之下，远程的登录系统具备两种认证的形式：即密钥与密码认证。

其中，密钥认证的形式，主要是将公钥储存在远程的服务器之上，私钥存储在本地。

当进行系统登陆的时候，再通过本地的私钥，以及远程的服务器公钥，进行配对认证的操作，若是认证的匹配度一致，则用户便能够畅通无阻的登录系统。

此类认证的方式，并不会受到暴力破解的威胁。

与此同时，只需要确保本地私钥的安全性，使其不会被黑客所盗取即可，攻击者便不能够通过此类认证方式登陆到系统中。

所以，推荐使用密钥方式进行系统登陆。

4.有效应用su、sudo命令。

su命令的作用的是对用户进行切换。

SUSE Linux安全加固■文档编号■密级■版本编号■日期目录SUSE LINUX安全加固 (1)一.系统信息 (2)二.账号 (2)2.1禁用无用账号 (2)2.2检查特殊账号 (2)2.3添加口令策略 (3)2.4检查G RUB/L ILO密码 (3)2.5限制FTP登录 (4)2.6限制用户SU (4)三.服务 (5)3.1关闭不必要的服务 (5)3.2检查SSH服务 (5)3.3检查.RHOSTS和/ETC/HOSTS.EQUIV文件 (6)3.4检查TCP W RAPPER.......................................................................... E RROR!B OOKMARK NOT DEFINED.3.5限制C TRL+A LT+D EL命令 (6)3.6查看NFS共享 (6)四.网络参数 ................................................................................. E RROR! BOOKMARK NOT DEFINED.五.文件系统 (7)5.1设置UMASK值 (7)5.2B ASH历史命令 (7)5.3设置登录超时 (7)六.日志 (8)6.1SYSLOGD日志 (8)一. 系统信息二. 账号2.1 禁用无用账号2.2 检查特殊账号2.3 添加口令策略2.4 检查Grub/Lilo密码2.5 限制FTP登录2.6 限制用户su三. 服务3.1 关闭不必要的服务3.2 检查SSH服务3.3 检查.rhosts和/etc/hosts.equiv文件3.4 限制Ctrl+Alt+Del命令3.5 查看NFS共享四. 文件系统4.1 设置UMASK值4.2 Bash历史命令4.3 设置登录超时五. 日志5.1 syslogd日志补充：。

SUSE Linux 主机安全加固适用9.0和10.0版本目录1 文档使用说明 (4)1.1适用范围 (4)2 实施前准备 (4)2.2 系统检查 (5)2.3 业务检查 (5)2.4 备份 (5)3 加固实施 (7)3.1 帐号 (8)3.1.1 SEC-SUSE-ACCT-01-设置专用维护帐号 (8)3.1.2 SEC-SUSE-ACCT-02-锁定/删除无用帐号 (9)3.1.3 SEC-SUSE-ACCT-03-用户帐号分组 (11)3.2 口令 (12)3.2.1 SEC-SUSE-PWD-01-配置用户口令复杂度 (12)3.2.2 SEC-SUSE-PWD-02-配置用户口令期限 (13)3.2.3 SEC-SUSE-PWD-03-配置用户口令重复使用次数 (15)3.2.4 SEC-SUSE-PWD-04-配置用户认证失败锁定策略 (15)3.3 服务 (18)3.3.1 SEC-SUSE-SVC-01-查看开放系统服务端口 (18)3.3.2 SEC-SUSE-SVC-02-禁用无用inetd/xinetd服务 (19)3.3.3 SEC-SUSE-SVC-03-配置NTP时间同步 (20)3.3.4 SEC-SUSE-SVC-04-停用NFS服务 (21)3.3.5 SEC-SUSE-SVC-05-禁用无关启动服务 (23)3.3.6 SEC-SUSE-SVC-06-修改SNMP默认团体名 (25)3.4 访问控制 (26)3.4.1 SEC-SUSE-AUTH-01-限制关键文件和目录访问权限 (26)3.4.2 SEC-SUSE-AUTH-02-设置用户文件默认访问权限 (28)3.4.3 SEC-SUSE-AUTH-03-设置EEPROM密码 (29)3.4.4 SEC-SUSE-AUTH-04-使用SSH代替TELNET远程登陆 (29)3.4.5 SEC-SUSE-AUTH-05-限制ROOT远程登录 (30)3.4.6 SEC-SUSE-AUTH-06-限制用户FTP登录 (32)3.4.7 SEC-SUSE-AUTH-07-限制FTP用户登录后能访问的目录 (33)3.4.8 SEC-SUSE-AUTH-08-设置终端超时退出时间 (34)3.4.9 SEC-SUSE-AUTH-09-设置图形界面超时退出时间 (35)3.4.10 SEC-SUSE-AUTH-10-限制允许登录到设备的IP地址范围 (36)3.4.11 SEC-SUSE-AUTH-11-设置FTP用户登录后对文件、目录的存取权限 (37)3.4.12 SEC-SUSE-AUTH-12-取消所有文件“系统文件”属性 (39)3.4.13 SEC-SUSE-AUTH-13-禁止ctrl+alt+del (40)3.5 日志审计 (40)3.5.1 SEC-SUSE-LOG-01-记录用户登录信息 (40)3.5.2 SEC-SUSE-LOG-02-开启系统记帐功能 (41)3.5.3 SEC-SUSE-LOG-03-记录系统安全事件 (43)3.5.4 SEC-SUSE-LOG-04-日志集中存放 (44)3.5.5 SEC-SUSE-LOG-05-记录用户SU命令操作 (46)3.5.6 SEC-SUSE-LOG-06-系统服务日志 (46)3.6 登陆显示 (48)3.6.1 SEC-SUSE-BANNER-01-设置登录成功后警告Banner (48)3.6.2 SEC-SUSE-BANNER-02-设置ssh警告Banner (48)3.6.3 SEC-SUSE-BANNER-03-更改telnet警告Banner (49)3.6.4 SEC-SUSE-BANNER-04-更改ftp警告Banner (50)3.7 IP协议 (52)3.7.1 SEC-SUSE-IP-01-禁止ICMP重定向 (52)3.7.2 SEC-SUSE-IP-02-关闭网络数据包转发 (53)3.8 内核参数 (54)3.8.1 SEC-SUSE-KERNEL-01-防止堆栈缓冲溢出 (54)3.9 补丁/软件 (54)3.9.1 SEC-SUSE-SW-01-安装OS补丁 (54)4 实施后验证 (55)4.1 系统检查 (55)4.2 启动双机和业务 (56)4.3 业务检查 (56)5 风险回退 (56)5.1 故障信息收集： (57)5.2 系统恢复： (59)1 文档使用说明1.1 适用范围1.适用OS版本：SLES 9，SLES 10SLES：SUSE Linux Enterprise Edition2.适用人员：一线维护工程师和安全专业服务工程师。

SUSE Linux 主机安全加固适用9.0和10.0版本目录1 文档使用说明 (4)1.1适用范围 (4)2 实施前准备 (4)2.2 系统检查 (5)2.3 业务检查 (5)2.4 备份 (5)3 加固实施 (7)3.1 帐号 (8)3.1.1 SEC-SUSE-ACCT-01-设置专用维护帐号 (8)3.1.2 SEC-SUSE-ACCT-02-锁定/删除无用帐号 (9)3.1.3 SEC-SUSE-ACCT-03-用户帐号分组 (11)3.2 口令 (12)3.2.1 SEC-SUSE-PWD-01-配置用户口令复杂度 (12)3.2.2 SEC-SUSE-PWD-02-配置用户口令期限 (13)3.2.3 SEC-SUSE-PWD-03-配置用户口令重复使用次数 (15)3.2.4 SEC-SUSE-PWD-04-配置用户认证失败锁定策略 (15)3.3 服务 (18)3.3.1 SEC-SUSE-SVC-01-查看开放系统服务端口 (18)3.3.2 SEC-SUSE-SVC-02-禁用无用inetd/xinetd服务 (19)3.3.3 SEC-SUSE-SVC-03-配置NTP时间同步 (20)3.3.4 SEC-SUSE-SVC-04-停用NFS服务 (21)3.3.5 SEC-SUSE-SVC-05-禁用无关启动服务 (23)3.3.6 SEC-SUSE-SVC-06-修改SNMP默认团体名 (25)3.4 访问控制 (26)3.4.1 SEC-SUSE-AUTH-01-限制关键文件和目录访问权限 (26)3.4.2 SEC-SUSE-AUTH-02-设置用户文件默认访问权限 (28)3.4.3 SEC-SUSE-AUTH-03-设置EEPROM密码 (29)3.4.4 SEC-SUSE-AUTH-04-使用SSH代替TELNET远程登陆 (29)3.4.5 SEC-SUSE-AUTH-05-限制ROOT远程登录 (30)3.4.6 SEC-SUSE-AUTH-06-限制用户FTP登录 (32)3.4.7 SEC-SUSE-AUTH-07-限制FTP用户登录后能访问的目录 (33)3.4.8 SEC-SUSE-AUTH-08-设置终端超时退出时间 (34)3.4.9 SEC-SUSE-AUTH-09-设置图形界面超时退出时间 (35)3.4.10 SEC-SUSE-AUTH-10-限制允许登录到设备的IP地址范围 (36)3.4.11 SEC-SUSE-AUTH-11-设置FTP用户登录后对文件、目录的存取权限 (37)3.4.12 SEC-SUSE-AUTH-12-取消所有文件“系统文件”属性 (39)3.4.13 SEC-SUSE-AUTH-13-禁止ctrl+alt+del (40)3.5 日志审计 (40)3.5.1 SEC-SUSE-LOG-01-记录用户登录信息 (40)3.5.2 SEC-SUSE-LOG-02-开启系统记帐功能 (41)3.5.3 SEC-SUSE-LOG-03-记录系统安全事件 (43)3.5.4 SEC-SUSE-LOG-04-日志集中存放 (44)3.5.5 SEC-SUSE-LOG-05-记录用户SU命令操作 (46)3.5.6 SEC-SUSE-LOG-06-系统服务日志 (46)3.6 登陆显示 (48)3.6.1 SEC-SUSE-BANNER-01-设置登录成功后警告Banner (48)3.6.2 SEC-SUSE-BANNER-02-设置ssh警告Banner (48)3.6.3 SEC-SUSE-BANNER-03-更改telnet警告Banner (49)3.6.4 SEC-SUSE-BANNER-04-更改ftp警告Banner (50)3.7 IP协议 (52)3.7.1 SEC-SUSE-IP-01-禁止ICMP重定向 (52)3.7.2 SEC-SUSE-IP-02-关闭网络数据包转发 (53)3.8 内核参数 (54)3.8.1 SEC-SUSE-KERNEL-01-防止堆栈缓冲溢出 (54)3.9 补丁/软件 (54)3.9.1 SEC-SUSE-SW-01-安装OS补丁 (54)4 实施后验证 (55)4.1 系统检查 (55)4.2 启动双机和业务 (56)4.3 业务检查 (56)5 风险回退 (56)5.1 故障信息收集： (57)5.2 系统恢复： (59)1 文档使用说明1.1 适用范围1.适用OS版本：SLES 9，SLES 10SLES：SUSE Linux Enterprise Edition2.适用人员：一线维护工程师和安全专业服务工程师。

深入分析Linux操作系统深度安全加固Linux 的系统安全不容忽视.然而系统加固又不是一件很容易的事.本文简单介绍了一下Linux 系统深度安全加固。

注：以下内容可能不适用于某些场合，请对号入座1. 安装和升级尽量选用最新的 Linux 发行版本，安装前拔掉网线，断开物理连接，安装时建议用 custom 自定义方式安装软件包，数量以少为好，一般来说服务器没有必要安装 X-windows，在 lilo/grub 引导器中加入口令限制，防止能够物理接触的恶意用户因为 Linux 安装光盘的 rescue 模式可以跳过这个限制，所以还要给bios加上密码或服务器机箱上锁 /var， /home， /usr， /root 等目录用独立的物理分区，防止垃圾数据和日志填满硬盘而导致 D.o.S 攻击。

root 账号给予强壮的口令，安装完毕立即用 up2date 或 apt 升级系统软件，有时升级内核也是必要的，因为内核出现问题同样会给攻击者提供机会Apt 是 Debian GNU Linux 下的一个强大的包管理工具，也可用于其他版本的 Linux.2. 账号如果系统中的用户比较多，可以编辑 /etc/login.defs，更改密码策略,删除系统中不必要帐户和组:如果不开匿名 ftp 则可以把 ftp 账号也删了。

最安全的方式是本地维护，可惜不太现实，但还是需要限制 root 的远程访问，管理员可以用普通账户远程登录，然后 su 到 root，我们可以把使用 su 的用户加到 wheel 组来提高安全性在 /etc/pam.d/su 文件的头部加入下面两行：然后把可以执行 su 的用户放入 wheel 组：编辑 /etc/securetty，注释掉所有允许 root 远程登录的控制台，然后禁止使用所有的控制台程序：登录采用加密的 ssh，如果管理员只从固定的终端登陆，还应限制合法 ssh 客户端的范围防止嗅探及中间人攻击，将命令历史纪录归为零，尽可能的隐藏你做过的事情：3. 服务最少服务原则，凡是不需要的服务一律注释掉在 /etc/inetd.conf 中不需要的服务前加"#"，较高版本中已经没有 inetd 而换成了 Xinetd;取消开机自动运行服务，把/etc/rc.d/rc3.d 下不需要运行的服务第一个字母大写改称小写，或者由 setup 命令启动的GUI 界面中的 service 更改。

Linux服务器加固（安全篇）前言：针对最近越来越多的安全事件曝光，服务器的安全问题浮出水面，这里介绍总结一些小的安全技巧，帮助加固服务器。

注意：再高超的安全技术手段也比不了良好的安全意识！一、信息安全防护的目标保密性，Confidentiality完整性，Integrity可用性，Usability可控制性，Controlability不可否认性，Non-repudiation二、安全防护环节物理安全：各种设备/主机、机房环境系统安全：主机或设备的操作系统应用安全：各种网络服务、应用程序网络安全：对网络访问的控制、防火墙规则数据安全：信息的备份与恢复、加密解密管理安全：各种保障性的规范、流程、方法三、LINUX系统加固1、阻止普通用户关机[root@svr1 ~]# cd/etc/security/console.apps/[root@svr1 console.apps]# mkdir -m700 locked[root@svr1 console.apps]# mvpoweroff locked/2、设置普通用户密码各个时间：[root@localhost ~]# chage -m 1 -M90 -W 5 -I 3 -E 2014-03-15 bob-m密码最短有效时间-M最长-W：警告waring-I：不活跃时间inactive-E:失效时间 expire设置普通用户下一次登陆必须改密码[root@localhost ~]# chage -d 0 alice 3、清理非登录账号删除冗余账号 ;/sbin/nologin,禁止登录shell4、帐号锁定操作[root@localhost ~]# passwd -l alice[root@localhost ~]# passwd -S alice[root@localhost ~]# passwd -u alice[root@localhost ~]# usermod -L alice[root@localhost ~]# usermod -U alice -l:锁定、-u解锁、-S查看状态、-L：usermod下的锁定；U：usermod的解锁5、配置文件/etc/login.defs对新建的用户有效主要控制属性PASS_MAX_DAYSPASS_MIN_DAYSPASS_WARN_AGE6、设置最大历史命令条目数# vim /etc/profile ->改HISTSIZE参数HISTSIZE7、文件系统规划及挂载mount挂载选项-o noexec ：不可执行-o nosuid ：SUID：如果一个可执行文件对于所有用户有x权限。