日韩高清在线免费不卡性生活毛片,亚洲av综合第一页,亚洲美女被操,一级无遮挡理论片

綠色資源網(wǎng):您身邊最放心的安全下載站! 最新軟件|熱門(mén)排行|軟件分類(lèi)|軟件專(zhuān)題|論壇轉(zhuǎn)帖|廠(chǎng)商大全

綠色資源網(wǎng)

技術(shù)教程
您的位置:首頁(yè)操作系統(tǒng)linux → LINUX安全加固

LINUX安全加固

我要評(píng)論 2014/07/09 20:27:04 來(lái)源:綠色資源網(wǎng) 編輯:m.dineoutnj.com [ ] 評(píng)論:0 點(diǎn)擊:518次

一. 賬戶(hù)安全

1.1 鎖定系統(tǒng)中多余的自建帳號(hào)

檢查方法:

執(zhí)行命令

#cat /etc/passwd

#cat /etc/shadow

查看賬戶(hù)、口令文件,與系統(tǒng)管理員確認(rèn)不必要的賬號(hào)。對(duì)于一些保留的系統(tǒng)偽帳戶(hù)如:bin, sys,adm,uucp,lp, nuucp,hpdb, www, daemon等可根據(jù)需要鎖定登陸。

備份方法:

#cp -p /etc/passwd /etc/passwd_bak

#cp -p /etc/shadow /etc/shadow_bak

加固方法:

使用命令passwd -l <用戶(hù)名>鎖定不必要的賬號(hào)。

使用命令passwd -u <用戶(hù)名>解鎖需要恢復(fù)的賬號(hào)。

1.2設(shè)置系統(tǒng)口令策略

檢查方法:

使用命令

#cat /etc/login.defs|grep PASS查看密碼策略設(shè)置

備份方法:

cp -p /etc/login.defs /etc/login.defs_bak

加固方法:

#vi /etc/login.defs修改配置文件

PASS_MAX_DAYS 90 #新建用戶(hù)的密碼最長(zhǎng)使用天數(shù)

PASS_MIN_DAYS 0 #新建用戶(hù)的密碼最短使用天數(shù)

PASS_WARN_AGE 7 #新建用戶(hù)的密碼到期提前提醒天數(shù)

PASS_MIN_LEN 9 #最小密碼長(zhǎng)度9

1.3禁用root之外的超級(jí)用戶(hù)

檢查方法:

#cat /etc/passwd 查看口令文件,口令文件格式如下:

login_name:password:user_ID:group_ID:comment:home_dir:command

login_name:用戶(hù)名

password:加密后的用戶(hù)密碼

user_ID:用戶(hù)ID,(1 ~ 6000) 若用戶(hù)ID=0,則該用戶(hù)擁有超級(jí)用戶(hù)的權(quán)限。查看此處是否有多個(gè)ID=0。

group_ID:用戶(hù)組ID

comment:用戶(hù)全名或其它注釋信息

home_dir:用戶(hù)根目錄

command:用戶(hù)登錄后的執(zhí)行命令

備份方法:

#cp -p /etc/passwd /etc/passwd_bak

加固方法:

使用命令passwd -l <用戶(hù)名>鎖定不必要的超級(jí)賬戶(hù)。

使用命令passwd -u <用戶(hù)名>解鎖需要恢復(fù)的超級(jí)賬戶(hù)。

風(fēng)險(xiǎn):需要與管理員確認(rèn)此超級(jí)用戶(hù)的用途。

1.4 限制能夠su為root的用戶(hù)

檢查方法:

#cat /etc/pam.d/su,查看是否有auth required /lib/security/pam_wheel.so這樣的配置條目

備份方法:#cp -p /etc/pam.d /etc/pam.d_bak

加固方法:

#vi /etc/pam.d/su

在頭部添加:

auth required /lib/security/pam_wheel.so group=wheel

這樣,只有wheel組的用戶(hù)可以su到root

#usermod -G10 test 將test用戶(hù)加入到wheel組

當(dāng)系統(tǒng)驗(yàn)證出現(xiàn)問(wèn)題時(shí),首先應(yīng)當(dāng)檢查/var/log/messages或者/var/log/secure中的輸出信息,根據(jù)這些信息判斷用戶(hù)賬號(hào)的有效

性。如果是因?yàn)镻AM驗(yàn)證故障,而引起root也無(wú)法登錄,只能使用single user或者rescue模式進(jìn)行排錯(cuò)。

1.5 檢查shadow中空口令帳號(hào)

檢查方法:

#awk -F: '( == "") { print }' /etc/shadow

備份方法:cp -p /etc/shadow /etc/shadow_bak

加固方法:對(duì)空口令賬號(hào)進(jìn)行鎖定,或要求增加密碼

二、最小化服務(wù)

2.1 停止或禁用與承載業(yè)務(wù)無(wú)關(guān)的服務(wù)

檢查方法:

#who –r或runlevel 查看當(dāng)前init級(jí)別

#chkconfig --list 查看所有服務(wù)的狀態(tài)

備份方法:記錄需要關(guān)閉服務(wù)的名稱(chēng)

加固方法:

#chkconfig --level <服務(wù)名> on|off|reset 設(shè)置服務(wù)在個(gè)init級(jí)別下開(kāi)機(jī)是否啟動(dòng)

三、數(shù)據(jù)訪(fǎng)問(wèn)控制

3.1 設(shè)置合理的初始文件權(quán)限

檢查方法:

#cat /etc/profile 查看umask的值

備份方法:

#cp -p /etc/profile /etc/profile_bak

加固方法:

#vi /etc/profile

umask=027

風(fēng)險(xiǎn):會(huì)修改新建文件的默認(rèn)權(quán)限,如果該服務(wù)器是WEB應(yīng)用,則此項(xiàng)謹(jǐn)慎修改。

四、網(wǎng)絡(luò)訪(fǎng)問(wèn)控制

4.1 使用SSH進(jìn)行管理

檢查方法:

#ps –aef | grep sshd 查看有無(wú)此服務(wù)

備份方法:

加固方法:

使用命令開(kāi)啟ssh服務(wù)

#service sshd start

風(fēng)險(xiǎn):改變管理員的使用習(xí)慣

4.2 設(shè)置訪(fǎng)問(wèn)控制策略限制能夠管理本機(jī)的IP地址

檢查方法:

#cat /etc/ssh/sshd_config 查看有無(wú)AllowUsers的語(yǔ)句

備份方法:

#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak

加固方法:

#vi /etc/ssh/sshd_config,添加以下語(yǔ)句

AllowUsers *@10.138.*.* 此句意為:僅允許10.138.0.0/16網(wǎng)段所有用戶(hù)通過(guò)ssh訪(fǎng)問(wèn)

保存后重啟ssh服務(wù)

#service sshd restart

風(fēng)險(xiǎn):需要和管理員確認(rèn)能夠管理的IP段

4.3 禁止root用戶(hù)遠(yuǎn)程登陸

檢查方法:

#cat /etc/ssh/sshd_config 查看PermitRootLogin是否為no

備份方法:

#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak

加固方法:

#vi /etc/ssh/sshd_config

PermitRootLogin no

保存后重啟ssh服務(wù)

service sshd restart

4.4 限定信任主機(jī)

檢查方法:

#cat /etc/hosts.equiv 查看其中的主機(jī)

#cat /$HOME/.rhosts 查看其中的主機(jī)

備份方法:

#cp -p /etc/hosts.equiv /etc/hosts.equiv_bak

#cp -p /$HOME/.rhosts /$HOME/.rhosts_bak

加固方法:

#vi /etc/hosts.equiv 刪除其中不必要的主機(jī)

#vi /$HOME/.rhosts 刪除其中不必要的主機(jī)

風(fēng)險(xiǎn):在多機(jī)互備的環(huán)境中,需要保留其他主機(jī)的IP可信任。

4.5 屏蔽登錄banner信息

檢查方法:

#cat /etc/ssh/sshd_config 查看文件中是否存在Banner字段,或banner字段為NONE

#cat /etc/motd 查看文件內(nèi)容,該處內(nèi)容將作為banner信息顯示給登錄用戶(hù)。

備份方法:

#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak

#cp -p /etc/motd /etc/motd_bak

加固方法:

#vi /etc/ssh/sshd_config

banner NONE

#vi /etc/motd

刪除全部?jī)?nèi)容或更新成自己想要添加的內(nèi)容

風(fēng)險(xiǎn):無(wú)可見(jiàn)風(fēng)險(xiǎn)

4.6 防止誤使用Ctrl+Alt+Del重啟系統(tǒng)

檢查方法:

#cat /etc/inittab|grep ctrlaltdel 查看輸入行是否被注釋

備份方法:

#cp -p /etc/inittab /etc/inittab_bak

加固方法:

#vi /etc/inittab

在行開(kāi)頭添加注釋符號(hào)“#”

#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

五、用戶(hù)鑒別

5.1 設(shè)置帳戶(hù)鎖定登錄失敗鎖定次數(shù)、鎖定時(shí)間

檢查方法:

#cat /etc/pam.d/system-auth 查看有無(wú)auth required pam_tally.so條目的設(shè)置

備份方法:

#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak

加固方法:

#vi /etc/pam.d/system-auth

auth required pam_tally.so onerr=fail deny=6 unlock_time=300 設(shè)置為密碼連續(xù)錯(cuò)誤6次鎖定,鎖定時(shí)間300秒

解鎖用戶(hù) faillog -u <用戶(hù)名> -r

風(fēng)險(xiǎn):需要PAM包的支持;對(duì)pam文件的修改應(yīng)仔細(xì)檢查,一旦出現(xiàn)錯(cuò)誤會(huì)導(dǎo)致無(wú)法登陸;

當(dāng)系統(tǒng)驗(yàn)證出現(xiàn)問(wèn)題時(shí),首先應(yīng)當(dāng)檢查/var/log/messages或者/var/log/secure中的輸出信息,根據(jù)這些信息判斷用戶(hù)賬號(hào)的有效性。

5.2 修改帳戶(hù)TMOUT值,設(shè)置自動(dòng)注銷(xiāo)時(shí)間

檢查方法:

#cat /etc/profile 查看有無(wú)TMOUT的設(shè)置

備份方法:

#cp -p /etc/profile /etc/profile_bak

加固方法:

#vi /etc/profile

增加

TMOUT=600 無(wú)操作600秒后自動(dòng)退出

風(fēng)險(xiǎn):無(wú)可見(jiàn)風(fēng)險(xiǎn)

5.3 Grub/Lilo密碼

檢查方法:

#cat /etc/grub.conf|grep password 查看grub是否設(shè)置密碼

#cat /etc/lilo.conf|grep password 查看lilo是否設(shè)置密碼

備份方法:

#cp -p /etc/grub.conf /etc/grub.conf_bak

#cp -p /etc/lilo.conf /etc/lilo.conf_bak

加固方法:為grub或lilo設(shè)置密碼

風(fēng)險(xiǎn):etc/grub.conf通常會(huì)鏈接到/boot/grub/grub.conf

5.4 限制FTP登錄

檢查方法:

#cat /etc/ftpusers 確認(rèn)是否包含用戶(hù)名,這些用戶(hù)名不允許登錄FTP服務(wù)

備份方法:

#cp -p /etc/ftpusers /etc/ftpusers_bak

加固方法:

#vi /etc/ftpusers 添加行,每行包含一個(gè)用戶(hù)名,添加的用戶(hù)將被禁止登錄FTP服務(wù)

風(fēng)險(xiǎn):無(wú)可見(jiàn)風(fēng)險(xiǎn)

5.5 設(shè)置Bash保留歷史命令的條數(shù)

檢查方法:

#cat /etc/profile|grep HISTSIZE=

#cat /etc/profile|grep HISTFILESIZE= 查看保留歷史命令的條數(shù)

備份方法:

#cp -p /etc/profile /etc/profile_bak

加固方法:

#vi /etc/profile

修改HISTSIZE=5和HISTFILESIZE=5即保留最新執(zhí)行的5條命令

六、審計(jì)策略

6.1 配置系統(tǒng)日志策略配置文件

檢查方法:

#ps –aef | grep syslog 確認(rèn)syslog是否啟用

#cat /etc/syslog.conf 查看syslogd的配置,并確認(rèn)日志文件是否存在

系統(tǒng)日志(默認(rèn))/var/log/messages

cron日志(默認(rèn))/var/log/cron

安全日志(默認(rèn))/var/log/secure

備份方法:

<

關(guān)鍵詞:LINUX,安全加固

閱讀本文后您有什么感想? 已有 人給出評(píng)價(jià)!

  • 0 歡迎喜歡
  • 0 白癡
  • 0 拜托
  • 0 哇
  • 0 加油
  • 0 鄙視