linux自我总结_安全测评
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
安全测评
本配置按照64位redhat5.5操作系统测试
●密码长度、复杂度(对于新增用户有效,已有账号无效)
vi /etc/login.defs
PASS_MAX_DAYS 99 最大有效天数
PASS_MIN_DAYS 0 最小修改天数
PASS_MIN_LEN 8 最小长度
PASS_WARN_AGE 7 警告期限
●多次密码认证错误锁定(tty认证有效,即终端)
vi /etc/pam.d/system-auth
auth required pam_env.so 必须配置该模块认证之后
auth required pam_tally2.so even_deny_root deny=5unlock_time=600 root_unlock_time=120
5次密码尝试,普通账号锁定5分钟,root账号锁定2分钟even_deny_root 也限制root用户;
deny 设置普通用户和root用户连续错误登陆的最大次数,超过则锁定;
unlock_time 设定普通用户锁定后,多少时间后解锁,单位是秒;
root_unlock_time 设定root用户锁定后,多少时间后解锁,单位是秒;
此处使用的是pam_tally2模块,如果不支持pam_tally2 可以使用pam_tally 模块。另外,不同的pam版本,设置可能有所不同,具体使用方法,可以参照相关模块的使用规则
●登陆认证修改
vi /etc/pam.d/gdm 图形化界面登录
vi /etc/pam.d/sshd 远程ssh登录
vi /etc/pam.d/login 其他远程登录
auth required pam_tally2.so onerr=fail deny=5 unlock_time=300 even_deny_rootroot_unlock_time=120
5次密码尝试,普通账号锁定5分钟,root账号锁定2分钟
删除多余auth required xxxxx
●密码复杂度设置
vi /etc/pam.d/system-auth
passwordrequisite pam_cracklib.so retry=5 difok=3 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 dictpath=/usr/share/cracklib/pw_dict
retry=N:重试多少次后返回密码修改错误
difok=N:新密码必需与旧密码不同的位数c
dcredit=N: N >= 0:密码中最多有多少个数字;N < 0密码中最少有多少个数字.
lcredit=N:小写字母的个数
ucredit=N大写字母的个数
ocredit=N:特殊字母的个数
minclass=N:密码组成(大/小字母,数字,特殊字符)
●关闭多余服务
service sendmail stop 关闭服务
chkconfig sendmail off 关闭开机启动
●限制ssh登陆IP地址另加WEB层、APP层服务器段vi /etc/hosts.allow 允许网段
sshd:10.93.40.:allow
sshd:all:deny
vi /etc/hosts.allow
sshd:10.93.221.:allow
sshd:all:deny
●安装ssh 5.2 安装包存放于/home下
rpm -Uvh openssh*.rpm
修改ssh版本
vi /etc/ssh/sshd_config
Protocol 2
rpm -e openssh-askpass-4.3p2-29.el5
●禁用ftp匿名,及其他账户
vi /etc/vsftpd/vsftpd.conf
anonynous=NO禁用匿名
vi /etc/vsftpd/ftpusers
ftp
passwd -l ftp
●TMOUT时间设置
vi /etc/profile
HISTSIZE=100 保留的历史命令行数
TMOUT=120连接超时,空闲120秒自动断开
---------------------------------------------------------------------------------------------------------------------------------------
●修改部分文件权限
chmod 700 /etc/rc.d/init.d/*
chmod 400 /var/log/faillog
chmod 600 /var/log/lastlog
●添加a标记
lsattr
chattr +a /etc/log/ *
Xrog.0.log
三个文件不改Xrog.0.log.old
tallylog
chattr -a /etc/log/....