linux系统安全加固方案
Linux系统安全性加固与风险评估指南
Linux系统安全性加固与风险评估指南第一章:引言在当今信息化时代,各类网络威胁不断增加,为了保护系统的安全性,加固Linux系统是至关重要的。
本指南旨在提供一系列加固Linux系统的方法,并介绍如何评估系统风险。
第二章:系统安全性加固2.1 更新系统组件定期更新系统组件以修复已知漏洞是加固Linux系统的基本步骤之一。
管理员应该确保系统中的所有软件和驱动程序都是最新的版本,以最大程度地减少系统面临的风险。
2.2 禁用不需要的服务和端口Linux系统默认启用了许多不必要的服务和端口,这可能会增加系统受到攻击的风险。
管理员应该仔细审查系统中运行的服务和打开的端口,禁用不必要的服务和关闭不需要的端口。
2.3 强化密码策略弱密码是黑客攻击的主要入口之一。
管理员应该制定一套严格的密码策略,包括密码长度、复杂度要求、密码过期时间等。
此外,可以考虑使用双因素身份验证来增加系统的安全性。
2.4 配置防火墙和访问控制列表防火墙是保护系统免受网络攻击的关键措施之一。
管理员应该配置防火墙规则,只允许必要的网络流量通过,并使用访问控制列表进一步限制对系统的访问。
2.5 加密通信链接为了保护敏感数据在传输过程中不被窃取,管理员应该使用加密通信协议,如HTTPS和SSL/TLS来加密网络通信链接。
这可以有效防止中间人攻击和数据泄露。
第三章:风险评估3.1 定义系统资产在进行风险评估之前,管理员首先需要明确系统中的关键资产,包括服务器、数据库、应用程序等。
只有了解系统的组成部分,才能更好地评估潜在风险。
3.2 识别潜在威胁管理员应该识别潜在的威胁,包括外部攻击、内部威胁、恶意软件和零日漏洞等。
通过分析已知的威胁和最新的安全威胁情报,可以更好地了解系统所面临的风险。
3.3 评估风险概率和影响对于已识别的潜在威胁,管理员应该评估其发生的概率以及对系统的影响程度。
通过分析不同威胁的可能性和潜在影响,可以制定相应的风险缓解策略。
3.4 制定风险缓解策略基于风险评估的结果,管理员应该制定相应的风险缓解策略。
如何进行Linux系统安全加固
如何进行Linux系统安全加固一、用户和权限管理1、最小权限原则为每个用户分配完成其工作所需的最小权限。
避免为用户授予不必要的 root 权限或其他高级权限。
例如,如果一个用户只需要读取某些文件,就只赋予其读取权限,而不是写入和执行权限。
2、删除不必要的用户和组定期审查系统中的用户和组,删除那些不再使用或未经授权的用户和组。
这可以减少潜在的攻击面。
3、密码策略实施强密码策略,要求用户使用包含大小写字母、数字和特殊字符的复杂密码,并定期更改密码。
可以通过修改`/etc/logindefs` 文件来设置密码的有效期、最小长度等参数。
4、限制 root 登录尽量避免直接使用root 用户登录系统。
可以通过配置`sudo` 命令,允许普通用户在必要时以 root 权限执行特定的命令。
二、系统更新和补丁管理1、启用自动更新确保系统能够自动获取并安装安全补丁和更新。
对于大多数主流的Linux 发行版,都提供了相应的工具和配置选项来实现这一点。
2、定期检查更新即使启用了自动更新,也应该定期手动检查系统是否有可用的更新,并及时安装重要的安全补丁。
3、测试更新在将更新应用到生产环境之前,先在测试环境中进行测试,以确保更新不会导致系统出现兼容性问题或其他故障。
三、防火墙配置1、安装和启用防火墙Linux 系统通常提供了内置的防火墙工具,如`iptables` 或`firewalld`。
安装并启用防火墙,根据实际需求配置允许的入站和出站连接。
2、定义规则制定详细的防火墙规则,只允许必要的服务和端口通过防火墙。
例如,如果您的服务器只提供 Web 服务,那么只开放 80(HTTP)和443(HTTPS)端口。
3、监控和日志记录配置防火墙以记录所有的连接尝试和阻止的数据包,定期查看防火墙日志,以便及时发现潜在的攻击或异常活动。
四、服务管理1、禁用不必要的服务关闭那些不需要的系统服务,减少系统的攻击面。
可以通过查看服务的配置文件或使用系统管理工具来禁用不必要的服务。
如何进行Linux系统安全加固
如何进行Linux系统安全加固Linux系统是业界广泛使用的一种操作系统,但是由于其开放源代码的特性,也使得其安全性面临一定的挑战。
为了保护服务器和应用程序的安全,对Linux系统进行安全加固是至关重要的。
本文将介绍如何进行Linux系统的安全加固,以保护系统免受潜在的威胁。
一、更新系统和软件第一步,在进行任何安全加固之前,确保您的Linux系统和软件都是最新的版本。
及时更新系统和软件补丁是保持系统安全的基本要求。
二、限制用户权限1. 禁止root用户登录:root用户是Linux系统的超级管理员,拥有最高权限。
为了防止黑客直接攻击root账号,应禁止root用户登录,并使用普通用户登录系统进行操作。
2. 限制用户权限:给予用户最小的权限,仅赋予其完成工作所需的权限,避免非必要的系统访问权限。
三、配置防火墙配置防火墙可以阻止不明访问和恶意攻击,增强系统安全性。
1. 启用iptables:iptables是Linux系统的防火墙工具,使用它可以配置规则来过滤和管理网络通信。
通过配置iptables,可以限制对系统的访问,仅允许必要的端口和协议。
2. 限制网络访问:通过防火墙,限制外部网络对服务器的访问。
例如,可以只开放HTTP和SSH端口,并禁止其他不必要的端口。
四、加密通信为了保护敏感数据的机密性,对Linux系统中的通信进行加密是必要的。
1. 使用SSH协议:SSH(Secure Shell)是一种加密通信协议,可以安全地远程登录和执行命令。
使用SSH协议代替传统的明文传输协议,如Telnet,可以保护用户的登录凭证免受攻击。
2. HTTPS配置:对于运行Web服务器的系统,配置HTTPS协议可以加密网站与用户之间的通信,确保数据的机密性和完整性。
五、强化密码策略强密码是保护系统安全的一个重要环节。
通过实施强密码策略,可以降低系统遭受密码攻击的风险。
1. 密码复杂度要求:要求用户设置复杂的密码,包含大小写字母、数字和特殊字符,并定期更换密码。
linux系统安全加固方案
1 概述............................... - 1 -1.1 适用范围......................... - 1 -2 用户账户安全加固 ........................ - 1 -2.1 修改用户密码策略..................... - 1 - 2.2 锁定或删除系统中与服务运行,运维无关的的用户........ - 1 -2.3 锁定或删除系统中不使用的组................ - 2 -2.4 限制密码的最小长度..................... - 2 -3 用户登录安全设置 ........................ - 3 -3.1 禁止 root 用户远程登录.................. - 3 -3.2 设置远程 ssh 登录超时时间................. - 3 - 3.3 设置当用户连续登录失败三次,锁定用户30分钟........ - 4 -3.4 设置用户不能使用最近五次使用过的密码............ - 4 -3.5 设置登陆系统账户超时自动退出登陆.............. - 5 -4 系统安全加固........................... -5 - 4.1 关闭系统中与系统正常运行、业务无关的服务.......... - 5 -4.2 禁用“ CTRL+ALT+DEL重启系统................. -6 -4.3 加密 grub 菜单....................... - 6 -1概述1.1适用范围本方案适用于银视通信息科技有限公司linux主机安全加固,供运维人员参考对linux 主机进行安全加固。
2用户账户安全加固2.1修改用户密码策略(1)修改前备份配置文件:/etc/logi n.defscp /etc/login.defs /etc/login.defs.bak(2)修改编辑配置文件:vi /etc/login.defs ,修改如下配置:PASS_MAX_DAYS 90 (用户的密码不过期最多的天数)PASS_MIN_DAYS 0 (密码修改之间最小的天数)PASS_MIN_LEN 8 (密码最小长度)PASS_WARN_AGE 7 (口令失效前多少天开始通知用户更改密码)(3)回退操作〜]# cp /etc/login.defs.bak /etc/login.defs2.2锁定或删除系统中与服务运行,运维无关的的用户(1)查看系统中的用户并确定无用的用户~]# more /etc/passwd(2)锁定不使用的账户(锁定或删除用户根据自己的需求操作一项即可)锁定不使用的账户:~]# usermod -L username或删除不使用的账户:〜]# userdel -f username(3) 回退操作用户锁定后当使用时可解除锁定,解除锁定命令为:~]# usermod -U username2.3锁定或删除系统中不使用的组(1) 操作前备份组配置文件/etc/group~]# cp /etc/group /etc/group.bak(2) 查看系统中的组并确定不使用的组~]# cat /etc/group(3) 删除或锁定不使用的组锁定不使用的组:修改组配置文件/etc/group,在不使用的组前加“ #”注释掉该组即可删除不使用的组:~]# groupdel groupname(4)回退操作~]# cp /etc/group.bak /etc/group2.4限制密码的最小长度(1)操作前备份组配置文件/etc/pam.d/system-auth~]# cp /etc/pam.d /etc/pam.d.bak(2)设置密码的最小长度为8修改配置文件 /etc/pam.d, 在行” password requisite pam_pwquality.so try_first_pass local_users_o nly retry=3 authtok_type= ”中添加“ minlen=8 ”,或使用 sed 修改:〜]# sed -i "s#password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=#password requisite pam_pwquality.so try_first_pass local_users_only retry=3 minlen=8authtok_type=#g" /etc/pam.d/system-auth(3) 回退操作~]# cp /etc/pam.d.bak /etc/pam.d3用户登录安全设置3.1禁止root用户远程登录(1)修改前备份ssh配置文件/etc/ssh/sshd_conf~]# cp /etc/ssh/sshd_conf /etc/ssh/sshd_conf.bak(2)修改ssh服务配置文件不允许root用户远程登录编辑/etc/ssh/sshd_config 找到“#PermitRootLogin yes”去掉注释并修改为“ PermitRootLogin no ”或者使用sed修改,修改命令为:~]# sed -i "s@#PermitRootLogin yes@PermitRootLogin no@g" /etc/ssh/sshd_config(3)修改完成后重启ssh服务Centos6.x 为:~]# service sshd restartCentos7.x 为:~]# systemctl restart sshd.service(4)回退操作~]# cp /etc/ssh/sshd_config.bak /etc/ssh/sshd_config3.2设置远程ssh登录超时时间(1)修改前备份ssh服务配置文件/etc/ssh/sshd_config~]# cp /etc/ssh/sshd_conf /etc/ssh/sshd_conf.bak(2)设置远程ssh登录长时间不操作退出登录编辑 /etc/ssh/sshd_co nf 将”Clie ntAlivel nterval 0”修改为”ClientAlivelnterval 180 ”,将”ClientAliveCountMax 3 ”去掉注释,或执行如下命令:〜]# sed -i "s@#ClientAlivelnterval 0@ClientAliveInterval 180@g"/etc/ssh/sshd_config〜]# sed -i "s@#ClientAliveCountMax 3@ClientAliveCountMax 3@g" /etc/ssh/sshd_config(3)配置完成后保存并重启ssh服务Centos6.x 为:~]# service sshd restartCentos7.x 为:~]# systemctl restart sshd.service(4)回退操作~]# cp /etc/ssh/sshd_config.bak /etc/ssh/sshd_config3.3设置当用户连续登录失败三次,锁定用户30分钟(1)配置前备份配置文件/etc/pam.d/sshd~]# cp /etc/pam.d/sshd /etc/pam.d/sshd.bak(2)设置当用户连续输入密码三次时,锁定该用户30分钟修改配置文件/etc/pam.d/sshd,在配置文件的第二行添加内容auth required pam_tally2.so deny=3 unlock_time=300(3)若修改配置文件出现错误,回退即可,回退操作:~]# cp /etc/pam.d/sshd.bak /etc/pam.d/sshd3.4设置用户不能使用最近五次使用过的密码(1)配置前备份配置文件/etc/pam.d/sshd〜]# cp /etc/pam.d/system-auth /etc/pam.d/system-auth.bak(2) 配置用户不能使用最近五次使用的密码修改配置文件 /etc/pam.d/sshd, 找到行”password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok ”,在最后力卩入remember=10 或使用 sed修改~]# sed -i "s@#password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok@password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=10@g" /etc/ssh/sshd_config(3) 回退操作~]# cp /etc/pam.d/sshd.bak /etc/pam.d/sshd3.5设置登陆系统账户超时自动退出登陆(1)设置登录系统的账号长时间不操作时自动登出修改系统环境变量配置文件/etc/profile, 在文件的末尾加入”TMOUT=180使登录系统的用户三分钟不操作系统时自动退出登录。
Linux系统加固指南
Linux系统加固指南本帮助手册旨在指导系统管理人员或安全检查人员进行Linux操作系统的安全合规性检查和加固。
1. 账号和口令1.1 禁用或删除无用账号减少系统无用账号,降低安全风险。
操作步骤•使用命令userdel <用户名>删除不必要的账号。
•使用命令passwd -l <用户名>锁定不必要的账号。
•使用命令passwd -u <用户名>解锁必要的账号。
1.2 检查特殊账号检查是否存在空口令和root权限的账号。
操作步骤1.查看空口令和root权限账号,确认是否存在异常账号:o使用命令awk -F: '($2=="")' /etc/shadow查看空口令账号。
o使用命令awk -F: '($3==0)' /etc/passwd查看UID为零的账号。
2.加固空口令账号:o使用命令passwd <用户名>为空口令账号设定密码。
o确认UID为零的账号只有root账号。
1.3 添加口令策略加强口令的复杂度等,降低被猜解的可能性。
操作步骤1.使用命令vi /etc/login.defs修改配置文件。
o PASS_MAX_DAYS 90 #新建用户的密码最长使用天数o PASS_MIN_DAYS 0 #新建用户的密码最短使用天数o PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数2.使用chage命令修改用户设置。
例如,chage -m 0 -M 30 -E 2000-01-01 -W 7 <用户名>表示将此用户的密码最长使用天数设为30,最短使用天数设为0,密码2000年1月1日过期,过期前七天警告用户。
3.设置连续输错三次密码,账号锁定五分钟。
使用命令vi/etc/pam.d/common-auth修改配置文件,在配置文件中添加auth required pam_tally.so onerr=fail deny=3unlock_time=300。
suse LINUX常用的安全加固措施
2、SuSE Linux常用的安全加固措施
– 2.4 用户口令管理
– 从设置密码的长度、有效期、修改周期方面保证了密码的健壮性
– 编辑/etc/login.defs文件,修改口令策略:
– PASS_MIN_LEN 8 用户口令长度不少于8个字符 – PASS_MAX_DAYS 90 口令最多可以90天不用修改 – PASS_MIN_DAYS 0 用户修改了密码之后,如果还需要再次修改,可以 马上更改
12
© 2009 HP Confidential
2、SuSE Linux常用的安全加固措施
– 2.5 文件和目录访问权限管理
– 2.5.1 最小授权原则
为了保护Linux文件和目录的安全,即使是对合法用户也必须按照最小权限原则, 仅授予每个用户完成特定任务所必需的文件、目录访问权限。这种授权方式下,即 使攻击者攻破了某一普通帐号,但由于权限较低,所能对系统造成的破坏也就受到 限制了。
13
© 2009 HP Confidential
2、SuSE Linux常用的安全加固措施
– 2.5 文件和目录访问权限管理
– 2.5.3 去掉PATH变量中的“.”
PATH环境变量指定执行命令要搜索的目录。超级用户的PATH变量在/etc/profile 文件中,编辑该文件,如果PATH环境变量中包含“.”,则予以删除。 对于普通帐号,编辑其主目录下的.profile文件:$HOME/.profile,同样删除 PATH变量中的“.”,并取消普通用户对他们的.profile文件修改权限。 另外,PATH变量中也不能包括可疑或目的不清的目录。
15 © 2009 HP Confidential
Linux安全加固
一,登录bannar设置要求内容:修改系统banner,避免泄漏操作系统名称,版本号,主机名称等,并且给出登陆告警信息操作步骤:在缺省情况下,当你登录到linux 系统,它会告诉你该linux 发行版的名称、版本、内核版本、服务器的名称。
应该尽可能的隐藏系统信息。
首先编辑―/etc/rc.d/rc.local‖文件,在下面显示的这些行前加一个―#‖,把输出信息的命令注释掉。
# This will overwrite /etc/issue at every boot. So, make any changes you want to make to /etc/issue here or you will lose them when you reboot#echo ―‖ > /etc/issue#echo ―$R‖ >> /etc/issue#echo ―Kernel $(uname -r) on $a $(uname -m)‖ >> /etc/issue#cp -f /etc/issue /etc/#echo >> /etc/issue其次删除‖/etc‖目录下的 和issue 文件:# mv /etc/issue /etc/issue.bak# mv /etc/ /etc/.bak二,账号设置要求内容:1,应删除或锁定与设备运行、维护等工作无关的账号操作步骤:锁定或者删除用户userdel -r 用户(删除用户)锁定用户(如下)修改/etc/shadow 文件,用户名后加*LK*将/etc/passwd 文件中的shell 域设置成/bin/falsepasswd -l 用户(只有具备超级用户权限的使用者方可使用,)需要锁定的用户:listen,gdm,webservd,nobody,nobody4、noaccess。
2,使用PAM禁止任何人su为root操作步骤:编辑su文件(vim /etc/pam.d/su),在开头添加下面两行:auth sufficient /lib/security/pam_rootok.soauth required /lib/security/pam_wheel.so group=wheel如上两行命令说明只有wheel组的成员可以使用su 命令成为root 用户。
Linux安全加固手册
Linux安全加固手册
可用离线破解、暴力字典破解或者密码网站查询出帐号密钥的密码是否是弱口令
2)修改vi /etc/login.defs配置密码周期策略
此策略只对策略实施后所创建的帐号生效,以前的帐号还是按99999天周期时间来算。
3)/etc/pam.d/system-auth配置密码复杂度:
在文件中添加如下一行:
password requisite pam_cracklib.so retry=3 difok=2 minlen=8 lcredit=-1 dcredit=-1
参数含义如下所示:
difok:本次密码与上次密码至少不同字符数
minlen:密码最小长度,此配置优先于login.defs中的PASS_MAX_DAYS
ucredit:最少大写字母
lcredit:最少小写字母
dcredit:最少数字
retry:重试多少次后返回密码修改错误
【注】用root修改其他帐号都不受密码周期及复杂度配置的影响。
1.2登录失败策略
要求:应启用登录失败处理功能,可采取结束会话、限制非法
登录次数和自动退出等措施。
目的:遭遇密码破解时,暂时锁定帐号,降低密码被猜解的可
能性
操作步骤:。
linux常用的加固方法
linux常用的加固方法Linux是一种常用的操作系统,广泛应用于服务器和个人电脑上。
由于其开放源代码和强大的安全性能,Linux在网络安全领域有着良好的声誉。
然而,为了进一步提升系统的安全性,我们可以采取一些加固方法。
本文将介绍一些常用的Linux加固方法,帮助提高系统的安全性。
我们可以通过更新操作系统来解决已知的安全漏洞。
Linux社区经常发布安全更新,修复已知的漏洞和弱点。
及时安装这些更新可以有效地提高系统的安全性。
我们可以禁用不必要的服务和端口。
Linux系统默认安装了许多服务和端口,但并不是所有的服务和端口都是必需的。
通过检查系统中运行的服务和监听的端口,并禁用不需要的服务和关闭不必要的端口,可以减少系统的攻击面。
设置强密码也是加固Linux系统的重要步骤。
强密码应包含字母、数字和特殊字符,并且长度应足够长。
为了防止暴力破解密码的攻击,我们可以限制登录尝试次数并启用账户锁定功能。
限制用户权限也是一种有效的加固方法。
在Linux系统中,可以使用用户组和访问控制列表(ACL)来管理用户的权限。
确保每个用户只获得其所需的最低权限可以减少系统被恶意用户滥用的风险。
另一个重要的加固措施是使用防火墙来过滤网络流量。
Linux系统自带了iptables防火墙工具,可以通过配置规则来限制进出系统的网络连接。
合理配置防火墙规则可以阻止未经授权的访问和网络攻击。
除了以上措施,我们还可以使用文件完整性检查工具来检测系统文件是否被篡改。
通过定期运行文件完整性检查工具,我们可以及时发现系统文件的变化,并排查是否存在潜在的安全威胁。
定期备份系统数据也是保护系统安全的重要环节。
备份数据可以确保在系统遭受攻击或出现故障时能够快速恢复数据。
同时,为了保护备份数据的安全,我们应该将备份数据存储在安全可靠的位置。
加强系统日志的记录和监控也是一种有效的加固方法。
通过监控系统日志,我们可以及时发现系统异常和潜在的攻击行为。
同时,定期审计日志文件也可以帮助我们分析系统的安全性,并发现潜在的安全风险。
linux安全加固总结
Linux系统的安全加固是一个持续的过程,涉及到多个层面的安全配置和管理。
以下是对Linux系统安全加固的一些关键点的总结:1. 用户与权限管理:禁止root直接登录:通过修改文件禁用root账户远程SSH登录,推荐使用普通用户登录后再通过sudo提权。
设置强密码策略:使用PAM模块如pam_cracklib或pam_passwdqc来实施严格的密码复杂度要求,并设置定期更改密码的策略。
用户口令锁定策略:设定连续登录失败次数限制,超过次数锁定账号,可通过等配置文件实现。
2. 服务和端口管理:关闭不必要的服务和端口:通过systemctl或service命令停止并禁用不需要的服务,如ftp、telnet等不安全的服务,同时在防火墙(iptables或firewalld)中仅开放必要的网络端口。
3. SSH安全加固:使用密钥对验证替代密码验证:启用公钥认证,禁用密码登录以提高安全性。
修改SSH默认端口:将SSH服务监听的端口从22更改为其他非标准端口,增加攻击者猜测难度。
限制SSH访问源地址:通过防火墙规则只允许特定IP或者子网段访问SSH 服务。
4. 文件系统和权限控制:调整umask值:确保新创建的文件和目录具有合理的默认权限,比如将umask设置为027,保证新增内容不会过于开放。
定期检查重要文件权限:例如确保等敏感文件只有特定权限。
5. 日志记录和审计:开启详细的日志记录:调整syslog或rsyslog配置,确保系统和应用程序日志详细且完整。
审计系统:启用auditd进行系统级审计,追踪重要的系统调用和事件。
6. 软件更新与补丁管理:及时更新系统和应用软件:保持操作系统内核及所有安装软件包的最新状态,降低因已知漏洞导致的风险。
7. 备份和恢复策略:制定数据备份计划:定期对重要数据进行备份,确保在发生安全事件后能够快速恢复。
8. 资源和时间限制:设置超时登录:通过TMOUT环境变量限制shell会话空闲时间,防止未授权长时间连接。
Linux系统的系统安全加固和防护措施
Linux系统的系统安全加固和防护措施随着信息技术的飞速发展,网络安全问题日益凸显。
作为一种开放源代码操作系统,Linux系统广泛应用于互联网服务器等重要领域,其系统安全加固和防护措施显得尤为重要。
本文将重点探讨Linux系统的系统安全加固和防护措施。
一、操作系统的安全加固1. 更新操作系统和软件版本:经常检查并更新操作系统和软件的最新版本,以获取最新的安全补丁和功能更新。
同时,及时删除不再使用的软件和插件,减少潜在的漏洞。
2. 强化账户和密码策略:对超级用户(root)账户和其他普通账户设定复杂的密码,并定期更换密码。
此外,禁止使用弱密码和常见密码,提高系统的安全性。
3. 配置文件权限设置:限制普通用户对系统核心配置文件的访问权限,避免恶意代码或攻击者利用改动配置文件来破坏系统稳定性。
4. 禁用不必要的服务和端口:检查系统中运行的服务和开放的端口,禁用不必要的服务和端口,减少系统的攻击面。
5. 安装防火墙:配置和启动防火墙,限制进出系统的网络流量,防止外部攻击和恶意流量的入侵。
二、访问控制和权限管理1. 用户权限管理:为每个用户分配合适的权限,限制其对系统资源和敏感文件的访问。
使用sudo(superuser do)命令,授予合适的特权给普通用户,降低系统被滥用的风险。
2. 使用访问控制列表(ACL):通过使用ACL实现对文件和目录的详细权限控制,限制除所有者和管理员外的其他用户对文件的访问与修改。
3. 文件加密:通过使用加密文件系统或单独对敏感文件进行加密,保护数据的机密性,即使系统受到攻击,攻击者也无法窃取敏感信息。
三、日志和监控1. 日志管理:配置系统日志以记录关键事件和错误信息。
定期检查系统日志,及时发现异常和潜在威胁,并采取相应措施进行应对。
2. 实施入侵检测系统(IDS)和入侵防御系统(IPS):部署IDS和IPS来监控系统的网络流量和行为,及时识别并阻止潜在的攻击。
3. 安全审计:进行定期的系统安全审计,发现系统中的安全漏洞和风险,及时加以修复和改进。
Linu系统安全加固手册
L i n u系统安全加固手册文档编制序号:[KKIDT-LLE0828-LLETD298-POI08]密级:商业秘密LINUX评估加固手册安氏领信科技发展有限公司二〇二〇年十月目录1、系统补丁的安装RedHat使用RPM包实现系统安装的管理,系统没有单独补丁包(Patch)。
如果出现新的漏洞,则发布一个新的RPM包,版本号(Version)不变,Release做相应的调整。
因此检查RH Linux的补丁安装情况只能列出所有安装的软件,和RH网站上发布的升级软件对照,检查其中的变化。
通过访问官方站点下载最新系统补丁,RedHat公司补丁地址如下:rpm -qa 查看系统当前安装的rpm包rpm -ivh package1安装RPM包rpm -Uvh package1升级RPM包rpm -Fvh package1升级RPM包(如果原先没有安装,则不安装)2、帐户、口令策略的加固2.1、删除或禁用系统无用的用户询问系统管理员,确认其需要使用的帐户如果下面的用户及其所在的组经过确认不需要,可以删除。
lp, sync, shutdown, halt, news, uucp, operator, games, gopher 修改一些系统帐号的shell变量,例如uucp,ftp和news等,还有一些仅仅需要FTP功能的帐号,检查并取消/bin/bash或者/bin/sh等Shell变量。
可以在/etc/passwd中将它们的shell变量设为/bin/false或者/dev/null等。
也可以通过passwd groupdel 来锁定用户、删除组。
passwd -l user1锁定user1用户passwd -u user1解锁user1用户groupdel lp 删除lp组。
2.2、口令策略的设置RedHat Linux总体口令策略的设定分两处进行,第一部分是在/etc/文件中定义,其中有四项相关内容:PASS_MAX_DAYS 密码最长时效(天)PASS_MIN_DAYS 密码最短时效(天)PASS_MIN_LEN 最短密码长度PASS_WARN_AGE 密码过期前PASS_WARN_AGE天警告用户编辑/etc/文件,设定:PASS_MAX_DAYS=90PASS_MIN_DAYS=0PASS_MIN_LEN=8PASS_WARN_AGE=30另外可以在/etc/system-auth文件中的cracklib项中定义口令强度:difokminlendcreditucreditlcreditocredit使用vi编辑/etc/system-auth文件,设置cracklib的属性#%# This file is auto-generated.# User changes will be destroyed the next time authconfig is run.auth required /lib/security/auth sufficient /lib/security/ likeauth nullokauth required /lib/security/account required /lib/security/account required /lib/security/password required /lib/security/ retry=3 type= difok=4 minlen=12 dcredit=1 ucredit=2 lcredit=2 ocredit=1password sufficient /lib/security/ nullok use_authtok md5 shadowpassword required /lib/security/session required /lib/security/session required /lib/security/2.3、系统是否允许root远程登录RedHat在文件/etc/securetty中定义root用户可以登录的端口;默认其中只包含vc/1-11和tty1-11,即root用户只能从本地登录。
linux系统安全加固规范
Linux主机操纵系统加固规范之袁州冬雪创作
目次
第1章概述1
第章账号管理、认证授权
账号
第3章日志审计9
第4章系统文件11
??系统状态错误!未指定书签。
4.1.1系统core dump状态11
第1章概述
1.1 适用范围
本配置尺度的使用者包含:服务器系统管理员、应用管理员、网络平安管理员.
1.2 适用版本
LINUX系列服务器;
第2章账号管理、认证授权
2.1 账号
2.1.1 用户口令设置
2.1.2 root用户远程登录限制
2.1.3 检查是否存在除root之外UID为0的用户
2.1.4 root用户环境变量的平安性
2.1.5 远程毗连的平安性配置
2.1.6 用户的umask平安配置
2.1.7 重要目次和文件的权限设置
2.1.8 查找未授权的SUID/SGID文件
2.1.9 检查任何人都有写权限的目次
2.1.10 查找任何人都有写权限的文件
2.1.11 检查没有属主的文件
2.1.12 检查异常隐含文件
第3章日志审计3.1 日志
3.1.1 syslog登录事件记录
3.2 审计
3.2.1
第4章系统文件4.1 系统状态
4.1.1 系统core dump状态。
linux 安全加固
linux 安全加固Linux 安全加固。
Linux作为一种开源操作系统,因其稳定性和安全性而备受青睐。
然而,任何系统都存在安全漏洞,因此对Linux系统进行安全加固是非常必要的。
本文将介绍一些常见的Linux安全加固措施,帮助您加强对Linux系统的安全防护。
首先,我们需要注意的是及时更新系统。
Linux系统的安全漏洞会不断被发现并修复,因此及时更新系统是保持系统安全的重要步骤。
您可以使用系统自带的包管理工具,如yum或apt-get,定期更新系统软件包。
其次,加强密码策略也是很重要的。
强密码可以有效防止密码破解,建议设置密码长度不少于8位,包含大小写字母、数字和特殊字符。
另外,定期更改密码也是必要的,可以通过设置密码过期时间来强制用户定期更改密码。
另外,限制用户权限也是一种有效的安全加固措施。
Linux系统中,用户的权限分为超级用户(root)和普通用户。
为了减少系统受到攻击的风险,我们应该尽量避免使用超级用户权限,只有在必要时才使用。
普通用户应该被限制其对系统的访问权限,只有在必要时才给予特定权限。
此外,防火墙的配置也是非常重要的。
Linux系统自带了防火墙工具iptables,可以通过配置iptables来限制网络流量,防止恶意攻击。
您可以根据实际情况,设置相应的规则来限制不必要的网络访问。
最后,定期备份数据也是非常重要的。
无论我们采取了多少安全措施,系统都不可能百分之百安全。
因此,定期备份数据可以帮助我们在系统遭受攻击或者发生其他意外情况时,尽快恢复数据,减少损失。
总之,对Linux系统进行安全加固是非常必要的。
通过及时更新系统、加强密码策略、限制用户权限、配置防火墙和定期备份数据等措施,可以有效提高系统的安全性,减少系统受到攻击的风险。
希望本文介绍的安全加固措施能帮助您更好地保护Linux系统的安全。
Linux命令行中的系统安全加固技巧与常用命令
Linux命令行中的系统安全加固技巧与常用命令在当今信息化社会,保障系统的安全性显得尤为重要。
针对Linux操作系统,本文将介绍一些命令行下的系统安全加固技巧以及常用命令,帮助读者加强对系统的保护,并提高信息安全等级。
一、密码设置与管理1. 密码策略在Linux系统中,合理的密码策略能够大大提高系统的安全性。
根据实际需求,可以通过以下命令设置密码策略:- passwd命令:用于修改用户密码。
指定密码的复杂度和有效期是保证密码安全的重要手段。
- chage命令:可用于设置用户密码过期时间,强制要求用户定期修改密码。
2. 增强登录认证为了增加系统的登录认证复杂度,可以通过以下命令加固:- SSH密钥认证:使用公钥/私钥机制进行认证,禁用明文密码登录。
- 使用强制访问控制(PAM):PAM模块提供了一套强大的验证机制,可限制用户对系统的访问。
二、文件和目录权限管理1. 修改文件权限在Linux系统中,通过chmod命令可以修改文件和目录的权限,从而加强对系统文件的保护。
例如,使用chmod命令将敏感文件的权限设置为只读,可以通过以下命令实现:```chmod 400 filename```2. 防止恶意修改系统文件为了防止恶意修改系统文件,可以通过以下命令:- 使用只读文件系统(read-only filesystem):将系统目录设置为只读,提高系统的安全性。
- 使用文件完整性检查工具(如AIDE):对系统文件进行定期检查,及时发现任何潜在的被修改的迹象。
三、网络安全加固1. 配置防火墙防火墙可以有效限制网络访问,并过滤恶意流量。
Linux系统中,可以通过以下命令配置防火墙:- iptables命令:一种灵活且功能强大的防火墙工具,可以定义不同的规则进行网络访问控制。
2. 禁止不必要的服务为了减少系统暴露在外部网络中的风险,可以禁止不必要的服务。
通过以下命令查看当前正在运行的服务:```service --status-all```然后可以使用以下命令关闭不需要的服务:```service service_name stop```四、日志管理1. 配置日志审计日志审计是系统安全监控的重要手段。
通用linux系统安全加固
通用linux系统安全加固手册1帐户安全配置要求1.1创建/e t c/s h a d o w影子口令文件配置项名称设置影子口令模式检查方法执行:#more /etc/shadow查看是否存在该文件操作步骤1、执行备份:#cp –p /etc/passwd /etc/passwd_bak 2、切换到影子口令模式:#pwconv回退操作执行:#pwunconv#cp /etc/passwd_bak /etc/passwd风险说明系统默认使用标准口令模式,切换不成功可能导致整个用户管理失效1.2建立多帐户组,将用户账号分配到相应的帐户组配置项名称建立多帐户组,将用户账号分配到相应的帐户组检查方法1、执行:#more /etc/group#more /etc/shadow查看每个组中的用户或每个用户属于那个组2、确认需要修改用户组的用户操作步骤1、执行备份:#cp –p /etc/group /etc/group_bak2、修改用户所属组:# usermod –g group username回退操作执行:#cp /etc/group_bak /etc/group风险说明修改用户所属组可能导致某些应用无法正常运行1.3删除或锁定可能无用的帐户配置项名称删除或锁定可能无用的帐户检查方法1、执行:#more /etc/passwd查看是否存在以下可能无用的帐户:hpsmh、named、uucp、nuucp、adm、daemon、bin、lp 2、与管理员确认需要锁定的帐户操作步骤1、执行备份:#cp –p /etc/passwd /etc/passwd_bak 2、锁定无用帐户:#passwd -l username回退操作执行:#cp /etc/passwd_bak /etc/passwd风险说明锁定某些用户可能导致某些应用无法正常运行1.4删除可能无用的用户组配置项名称删除可能无用的用户组检查方法1、执行:#more /etc/group查看是否存在以下可能无用的用户组:lp nuucp nogroup2、与管理员确认需要删除的用户组操作步骤1、执行备份:#cp –p /etc/group /etc/group_bak 2、删除无用的用户组:#groupdel groupname回退操作执行:#cp /etc/group_bak /etc/group风险说明删除某些组可能导致某些应用无法正常运行1.5检查是否存在空密码的帐户配置项名称检查是否存在空密码的帐户检查方法执行下列命令,检查是否存在空密码的帐户logins –p应无回结果操作步骤1、执行备份:#cp –p /etc/passwd /etc/passwd_bak#cp -p /etc/shadow /etc/shadow_bak2、锁定空密码帐户或使用passwd命令设置复杂密码#passwd –l username回退操作执行:#cp –p /etc/passwd_bak /etc/passwd #cp -p /etc/shadow_bak /etc/shadow风险说明锁定某些帐户可能导致某些应用无法正常运行1.6设置口令策略满足复杂度要求配置项名称设置口令策略满足复杂度要求检查方法1、执行下列命令,检查是否存在空密码的帐户#logins –p应无返回结果2、执行:#more /etc/default/security检查是否满足以下各项复杂度参数:MIN_PASSWORD_LENGTH=6 PASSWORD_MIN_UPPER_CASE_CHARS=1 PASSWORD_MIN_LOWER_CASE_CHARS=1 PASSWORD_MIN_DIGIT_CHARS=1 PASSWORD_MIN_SPECIAL_CHARS=1操作步骤1、执行备份:#cp –p /etc/default/security /etc/default/security_bak #cp –p /etc/passwd /etc/passwd_bak2、执行下列命令,编辑/etc/default/security#vi /etc/default/security修改以下各项复杂度参数:MIN_PASSWORD_LENGTH=6PASSWORD_MIN_UPPER_CASE_CHARS=1 PASSWORD_MIN_LOWER_CASE_CHARS=1 PASSWORD_MIN_DIGIT_CHARS=1 PASSWORD_MIN_SPECIAL_CHARS=1回退操作执行:#cp /etc/default/security_bak /etc/default/security #cp /etc/passwd_bak /etc/passwd风险说明可能导致非root用户修改自己的密码时多次不成功1.7设置帐户口令生存周期配置项名称设置帐户口令生存周期检查方法执行:#more /etc/default/security查看是否存在以下各项参数:PASSWORD_MAXDAYS=90 PASSWORD_WARNDAYS=28操作步骤1、执行备份:#cp –p /etc/default/security /etc/default/security_bak #cp –p /etc/passwd /etc/passwd_bak2、执行下列命令,编辑/etc/default/security#vi /etc/default/security修改以下各项参数:PASSWORD_MAXDAYS=90PASSWORD_WARNDAYS=28回退操作执行:#cp /etc/default/security_bak /etc/default/security #cp /etc/passwd_bak /etc/passwd风险说明可能在密码过期后影响正常使用及维护1.8设定密码历史,不能重复使用最近5次(含5次)内已使用的口令配置项名称应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令检查方法执行:#more /etc/default/security查看是否存在以下参数:PASSWORD_HISTORY_DEPTH=5操作步骤1、执行备份:#cp –p /etc/default/security /etc/default/security_bak #cp –p /etc/passwd /etc/passwd_bak2、执行下列命令,编辑/etc/default/security#vi /etc/default/security修改以下参数:PASSWORD_HISTORY_DEPTH=5回退操作执行:#cp /etc/default/security_bak /etc/default/security #cp /etc/passwd_bak /etc/passwd风险说明低风险1.9限制r o o t用户远程登录配置项名称root用户远程登录限制检查方法执行:#more /etc/securetty检查是否有下列行:Console执行:#more /opt/ssh/etc/sshd_config 检查是否有PermitRootLogin no操作步骤1、执行备份:#cp –p /etc/securetty / etc/securetty_bak#cp -p /opt/ssh/etc/sshd_config /opt/ssh/etc/sshd_config_bak 2、新建一个普通用户并设置高强度密码:#useradd username#passwd username3、禁止root用户远程登录系统:#vi /etc/securetty去掉console前面的注释,保存退出#vi /opt/ssh/etc/sshd_config将PermitRootLogin后的yes改为no回退操作执行:#cp /etc/securetty_bak /etc/securetty#cp -p /opt/ssh/etc/sshd_config_bak /opt/ssh/etc/sshd_config风险说明严重改变维护人员操作习惯,必须新建一个能够执行交互式登录的普通用户并能够通过su提升权限,可能带来新的威胁1.10检查p a s s w d、g r o u p文件权限设置配置项名称检查passwd、group文件权限设置检查方法执行:#ls –l /etc/passwd /etc/group操作步骤1、执行备份:#cp –p /etc/passwd /etc/passwd_bak #cp –p /etc/group /etc/group_bak 2、修改文件权限:#chmod 644 /etc/passwd#chmod 644 /etc/group回退执行:#cp /etc/passwd_bak /etc/passwd #cp /etc/group_bak /etc/group风险说明权限设置不当可能导致无法执行用户管理,并可能造成某些应用运行异常1.11删除帐户目录下的.n e t r c/.r h o s t s/.s h o s t s文件配置项名称删除帐户目录下的.netrc/.rhosts/.shosts文件检查方法执行下列命令,检查帐户目录下是否存在.netrc/.rhosts/.shosts文件# logins -ox | cut -f6 -d: | grep /home/ | while read dir; do ls -a "$dir" ;done操作步骤1、执行备份:使用cp命令备份.netrc/.rhosts/.shosts文件2、删除文件:使用rm -f命令删除.netrc/.rhosts/.shosts文件回退操作使用cp命令恢复被删除的.netrc/.rhosts/.shosts文件风险说明可能影响需要使用远程连接的应用1.12系统u m a s k设置配置项名称系统umask设置检查方法执行:#more /etc/profile 检查系统umask值操作步骤1、执行备份:#cp -p /etc/profile /etc/profile_bak 2、修改umask设置:#vi /etc/profile将umask值修改为027,保存退出回退操作执行:#cp /etc/profile_bak /etc/profile风险说明umask设置不当可能导致某些应用无法正确自动创建目录或文件,从而运行异常2访问、认证安全配置要求2.1远程登录取消t e l n e t采用s s h配置项名称远程登录取消telnet采用ssh检查方法查看SSH、telnet服务状态:#ps –elf | grep ssh#ps –elf | grep telnetSSH服务状态查看结果为:online telnet服务状态查看结果为:disabled操作步骤1、备份#cp –p /etc/inetd.conf /etc/inetd.conf_bak2、修改/etc/inetd.conf文件,将telnet行注释掉#telnet stream tcp nowait root /usr/lbin/telnetd telnetd3、安装ssh软件包,通过#/opt/ssh/sbin/sshd start来启动SSH。
Linux下的系统安全加固方法
Linux下的系统安全加固方法在当今信息化时代,计算机系统的安全性显得尤为重要。
而Linux作为一种开源操作系统,其灵活性和可配置性为我们提供了强大的安全加固工具和功能。
本文将介绍一些常见的Linux下的系统安全加固方法,帮助读者加强系统的安全性。
1. 更新和升级系统保持操作系统及相关软件的最新版本是确保系统安全的第一步。
定期更新和升级系统可以及时修复系统漏洞和安全隐患,并获得最新的安全补丁和功能特性。
常用的命令包括“yum update”或“apt-get upgrade”等。
2. 安装防火墙防火墙是Linux系统保护网络安全的重要工具。
可以通过配置iptables或firewalld等工具来实现防火墙的功能。
合理配置防火墙规则可以限制网络访问、过滤恶意流量,并对可信来源进行安全访问控制。
3. 用户管理与访问控制合理的用户管理和访问控制是系统安全的核心。
建议进行以下措施:3.1. 删除不必要的用户账号清理掉无用的或未授权的用户账号,减少系统受到攻击的风险。
3.2. 强化密码策略设置密码的复杂性要求,要求用户定期更换密码,并禁止使用弱密码。
3.3. 禁止root远程登录禁止root账号通过远程方式登录,减少系统远程攻击的风险。
3.4. 使用sudo限制命令权限尽量使用sudo命令来执行特权操作,限制用户对系统的直接访问。
4. 加密通信加密通信是保障系统安全的重要环节。
可以通过配置SSL/TLS证书来加密网络通信,确保数据在传输过程中的安全性。
同时,禁止使用明文传输的协议和服务,如Telnet和FTP等。
5. 安全审计和监控通过安全审计和监控可以实时监测系统的安全状态,发现潜在的威胁和异常行为。
常见的安全审计工具有AIDE和OSSEC等,可以实时监控文件和系统的变化,并发出警报。
6. 定期备份和恢复定期备份系统和关键数据是防范数据丢失和系统崩溃的有效方法。
备份数据应存储在安全的位置,并进行定期验证和测试。
浅谈Linux操作系统安全加固
INFORMATION TECHNOLOGY 信息化建设摘要:论文以实际生产环境为案例,探究Linux操作系统安全加固方面的相关问题和解决办法,以实现信息安全,保障生产安全稳定运行。
关键词:Linux;安全加固;操作系统一、前言Linux操作系统是一款类Unix操作系统,由于其良好而稳定的性能在我厂的计算机应用服务器中得到广泛的应用。
网络科技的快速发展,使得关于网络安全的问题,日益突显出来,而惟有确保安全可靠的服务器操作系统,才能从最根本上保障生产应用和生产数据的安全。
二、安全隐患及加固措施(一)用户账户以及登录安全1.删除多余用户和用户组。
Linux是多用户操作系统,存在很多种不一样的角色系统账号,当安装完成操作系统之后,系统会默认为未添加许用户组及用户,若是部分用户或是用户组不需要,应当立即删除它们,否则黑客很有可能利用这些账号,对服务器实施攻击。
具体保留哪些账号,可以依据服务器的用途来决定。
2.关闭不需要的系统服务。
操作系统安装完成之后,其会在安装的过程当中,会自主的启动各种类型的服务程序内容,对于长时间运行的服务器而言,其运行的服务程序越多,则系统的安全性就越低。
所以,用户或是用户组就需要将一些应用不到的服务程序进行关闭,这对提升系统的安全性能,有着极大的帮助[1]。
3.密码安全策略。
在Linux之下,远程的登录系统具备两种认证的形式:即密钥与密码认证。
其中,密钥认证的形式,主要是将公钥储存在远程的服务器之上,私钥存储在本地。
当进行系统登陆的时候,再通过本地的私钥,以及远程的服务器公钥,进行配对认证的操作,若是认证的匹配度一致,则用户便能够畅通无阻的登录系统。
此类认证的方式,并不会受到暴力破解的威胁。
与此同时,只需要确保本地私钥的安全性,使其不会被黑客所盗取即可,攻击者便不能够通过此类认证方式登陆到系统中。
所以,推荐使用密钥方式进行系统登陆。
4.有效应用su、sudo命令。
su命令的作用的是对用户进行切换。
Linux系统的网络安全加固和漏洞修复
Linux系统的网络安全加固和漏洞修复随着互联网的普及和应用,网络安全问题日益突出。
作为一种开源的操作系统,Linux在网络安全方面有着丰富的经验和技术,可以通过一系列措施来加固系统的网络安全,及时修复漏洞,保障系统的稳定和安全。
本文将介绍Linux系统的网络安全加固和漏洞修复方法。
一、强化系统权限配置Linux系统默认情况下,普通用户的权限较低,但管理员账户的权限往往较高。
为了加固系统的网络安全,可以通过以下方式进行权限配置的强化。
1. 限制root用户的远程登录权限:编辑sshd配置文件,将PermitRootLogin设为no,即禁止root用户通过远程登录来增加系统的安全性。
2. 管理员账户权限的分配:合理分配管理员账户的权限,避免滥用管理员账户获取的高权限对系统造成损害。
二、及时更新系统补丁漏洞是系统被攻击的最大威胁之一,黑客熟悉Linux的源代码和漏洞,因此及时更新系统补丁非常重要。
1. 定期更新系统软件包:使用包管理器,如apt-get或yum,定期更新系统软件包。
这些软件包包含着系统的重要组件和补丁,及时更新可以修复已知的漏洞。
2. 定期更新内核:Linux内核是操作系统的核心,更新内核可以修复一些系统核心的漏洞,并提供更好的性能和功能。
三、安装并配置防火墙防火墙是网络安全的第一道防线,可以通过限制网络流量和过滤不合法的请求来保护系统。
1. 安装iptables防火墙:iptables是Linux系统中常用的防火墙软件,可以通过编写规则来限制不同的网络流量。
2. 配置iptables规则:根据实际需求和风险评估,合理编写iptables规则,只允许必要的网络连接,防范潜在的攻击。
四、使用安全加密协议数据的安全传输对于保障系统的网络安全非常重要,可以通过使用安全加密协议来确保数据的机密性和完整性。
1. 使用SSH协议替代Telnet:SSH协议通过加密传输来确保通信的安全性,远程登录时应该使用SSH而不是明文传输的Telnet。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1概述......................................................................................................................... - 1 -1.1适用范围...................................................................................................... - 1 - 2用户账户安全加固................................................................................................. - 1 -2.1修改用户密码策略 ...................................................................................... - 1 -2.2锁定或删除系统中与服务运行,运维无关的的用户 .............................. - 1 -2.3锁定或删除系统中不使用的组 .................................................................. - 2 -2.4限制密码的最小长度 .................................................................................. - 2 - 3用户登录安全设置................................................................................................. - 3 -3.1禁止root用户远程登录.............................................................................. - 3 -3.2设置远程ssh登录超时时间 ....................................................................... - 3 -3.3设置当用户连续登录失败三次,锁定用户30分钟 ................................ - 4 -3.4设置用户不能使用最近五次使用过的密码 .............................................. - 5 -3.5设置登陆系统账户超时自动退出登陆 ...................................................... - 5 - 4系统安全加固......................................................................................................... - 5 -4.1关闭系统中与系统正常运行、业务无关的服务 ...................................... - 5 -4.2禁用“CTRL+ALT+DEL”重启系统 ............................................................... - 6 -4.3加密grub菜单 ............................................................................................. - 6 -1概述1.1适用范围本方案适用于银视通信息科技有限公司linux主机安全加固,供运维人员参考对linux 主机进行安全加固。
2用户账户安全加固2.1修改用户密码策略(1)修改前备份配置文件:/etc/login.defs(2)修改编辑配置文件:vi /etc/login.defs,修改如下配置:(3)回退操作2.2锁定或删除系统中与服务运行,运维无关的的用户(1)查看系统中的用户并确定无用的用户(2)锁定不使用的账户(锁定或删除用户根据自己的需求操作一项即可)锁定不使用的账户:或删除不使用的账户:(3)回退操作用户锁定后当使用时可解除锁定,解除锁定命令为:2.3锁定或删除系统中不使用的组(1)操作前备份组配置文件/etc/group(2)查看系统中的组并确定不使用的组(3)删除或锁定不使用的组锁定不使用的组:修改组配置文件/etc/group,在不使用的组前加“#”注释掉该组即可删除不使用的组:(4)回退操作2.4限制密码的最小长度(1)操作前备份组配置文件/etc/pam.d/system-auth(2)设置密码的最小长度为8修改配置文件/etc/pam.d,在行”password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=”中添加“minlen=8”,或使用sed修改:(3)回退操作3用户登录安全设置3.1禁止root用户远程登录(1)修改前备份ssh配置文件/etc/ssh/sshd_conf(2)修改ssh服务配置文件不允许root用户远程登录编辑/etc/ssh/sshd_config找到“#PermitRootLogin yes”去掉注释并修改为“PermitRootLogin no”或者使用sed修改,修改命令为:(3)修改完成后重启ssh服务Centos6.x为:Centos7.x为:(4)回退操作3.2设置远程ssh登录超时时间(1)修改前备份ssh服务配置文件/etc/ssh/sshd_config(2)设置远程ssh登录长时间不操作退出登录编辑/etc/ssh/sshd_conf将”#ClientAliveInterval 0”修改为”ClientAliveInterval 180”,将”#ClientAliveCountMax 3”去掉注释,或执行如下命令:(3)配置完成后保存并重启ssh服务Centos6.x为:Centos7.x为:(4)回退操作3.3设置当用户连续登录失败三次,锁定用户30分钟(1)配置前备份配置文件/etc/pam.d/sshd(2)设置当用户连续输入密码三次时,锁定该用户30分钟修改配置文件/etc/pam.d/sshd,在配置文件的第二行添加内容:(3)若修改配置文件出现错误,回退即可,回退操作:3.4设置用户不能使用最近五次使用过的密码(1)配置前备份配置文件/etc/pam.d/sshd(2)配置用户不能使用最近五次使用的密码修改配置文件/etc/pam.d/sshd,找到行”password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok”,在最后加入remember=10,或使用sed修改(3)回退操作3.5设置登陆系统账户超时自动退出登陆(1)设置登录系统的账号长时间不操作时自动登出修改系统环境变量配置文件/etc/profile,在文件的末尾加入”TMOUT=180”,使登录系统的用户三分钟不操作系统时自动退出登录。
(2)使配置生效执行命令:(3)回退操作删除在配置文件”/etc/profile”中添加的”TMOUT=180”,执行命令. /etc/profile 使配置生效。
4系统安全加固4.1关闭系统中与系统正常运行、业务无关的服务(1)查看系统中的所有服务及运行级别,并确定哪些服务是与系统的正常运行及业务无关的服务。
(2)关闭系统中不用的服务(3)回退操作,如果意外关闭了与系统业务运行相关的服务,可将该服务开启4.2禁用“CTRL+ALT+DEL”重启系统(1)rhel6.x中禁用“ctrl+alt+del”键重启系统修改配置文件“/etc/init/control-alt-delete.conf”,注释掉行“start on control-alt-delete”。
或用sed命令修改:(2)rhel7.x中禁用“ctrl+alt+del”键重启系统修改配置文件“/usr/lib/systemd/system/ctrl-alt-del.target”,注释掉所有内容。
(3)使修改的配置生效4.3加密grub菜单1、加密Redhat6.x grub菜单(1)备份配置文件/boot/grub/grub.conf(2)将密码生成秘钥(3)为grub加密修改配置文件/boot/grub/grub.conf,在”timeout=5”行下加入”password --md5 $1$CgxdR/$9ipaqi8aVriEpF0nvfd8x.”,”$1$CgxdR/$9ipaqi8aVriEpF0nvfd8x.”为加密后的密码。
(4)回退或者删除加入行”password --md5 $1$CgxdR/$9ipaqi8aVriEpF0nvfd8x.”2、加密redhat7.xgrub菜单(1)在”/etc/grub.d/00_header”文件末尾,添加以下内容(2)重新编译生成grub.cfg文件(3)回退操作删除/etc/grub.d/00_header中添加的内容,并重新编译生成grub.cfg文件。