Linux操作系统加固建议
1.1.1 口令锁定策略
1、执行备份
(1)、redhat执行备份:
#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak
(2)、SUSE9:
#cp -p /etc/pam.d/passwd /etc/pam.d/passwd.bak
(3)、SUSE10:
#cp -p /etc/pam.d/common-password /etc/pam.d/common-password.bak
2、修改策略设,编辑文件/etc/pam.d/system-auth(SUSE:/etc/pam.d/passwd)增加如下内容:
auth required pam_tally2.so deny=5 onerr=fail no_magic_root unlock_time=180 #unlock_time单位为秒
account required pam_tally2.so #(redhat5.1以上版本支持 pam_tally2.so,其他版本使用pam_tally.so)
1.1.2 口令生存期
1、执行备份:
#cp -p /etc/login.defs /etc/login.defs_bak
2、修改策略设置,编辑文件/etc/login.defs(vi /etc/login.defs),在文件中加入如下内容(如果存在则修改,不存在则添加):
PASS_MAX_DAYS 90
PASS_MIN_DAYS 10
PASS_WARN_AGE 7
1.1.3 口令复杂度
1、redhat系统
编辑文件/etc/pam.d/system-auth,在文件中找到如下内容:
password requisite pam_cracklib.so,将其修改为:
password requisite pam_cracklib.so try_first_pass retry=3 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=8 #至少包含一个数字、一个小写字母、一个大写字母、一个特殊字符、且密码长度>=8
2、suse9编辑/etc/pam.d/passwd、suse10以上编辑/etc/pam.d/common-password,在文件中加入如下内容(如果文件中存在password的行请首先注释掉):
password required pam_pwcheck.so nullok
password requisite pam_cracklib.so dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=8 use_authtok
password required pam_unix2.so nullok use_first_pass use_authtok
1.1.4 删除无关帐号(需要锁定和删除的用户shell域设置的个数)
1、如果以下用户(lp|sync|halt|news|uucp|operator|games|gopher|smmsp|nfsnobody|nobody)没有被删除或锁定,可以使用如下命令对其进行操作:
(1)、删除用户:
#userdel username
(2)、锁定用户:
#passwd -l username #锁定用户,只有具备超级用户权限的使用者方可使用。
#passwd –d username #解锁用户,解锁后原有密码失效,登录设置新密码才能登录。
#passwd -u username #解锁用户后,原密码仍然有效。
(3)、修改用户shell域为/bin/false
#usermod -s /bin/false username #命令来更改相应用户的shell为/bin/false,其中[name]为要修改的具体用户名。
1.1.5 口令重复次数限制
1、执行备份
#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth.bak
#cp -p /etc/pam.d/passwd /etc/pam.d/passwd.bak
#cp -p /etc/pam.d/common-password /etc/pam.d/common-password.bak
2、创建文件/etc/security/opasswd用于存储旧密码,并设置权限。
#touch /etc/security/opasswd
#chown root:root /etc/security/opasswd
#chmod 600 /etc/security/opasswd
3、修改策略设置
#vim /etc/pam.d/system-auth((SUSE9:/etc/pam.d/passwd、SUSE10以上/etc/pam.d/common-password)在类似password sufficient pam_unix.so所在行末尾增加remember=5,中间以空格隔开.如果没有则新增,例如:
password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok remember=5
1.1.6 文件与目录缺省权限控制
1、首先对/etc/profile进行备份:
#cp /etc/profile /etc/profile.bak
2、编辑文件/etc/profile,在文件末尾加上如下内容:
umask 027
3、执行以下命令让配置生效:
#source /etc/profile
1.1.7 修改SSH的Banner警告信息
1、如果此项检查不合规,执行以下步骤进行修复。
#touch /etc/ssh_banner
#chown bin:bin /etc/ssh_banner
#chmod 644 /etc/ssh_banner
#echo " Authorized only. All activity will be monitored and reported " > /etc/ssh_banner
可根据实际需要修改该文件的内容。
2、修改/etc/ssh/sshd_config文件,添加如下行:
Banner /etc/ssh_banner
3、重启sshd服务:
systemctl restart sshd.service
#/etc/init.d/sshd restart
1.1.8 启用远程日志功能
1、linux
编辑文件 /etc/syslog.conf或者/etc/rsyslog.conf,增加如下内容:
*.* @<日志服务器ip或者域名>
2、suse
编辑文件/etc/syslog-ng/syslog-ng.conf,增加如下内容:
destination logserver { udp("192.168.56.168" port(514)); };
log { source(src); destination(logserver); };
#日志服务器ip视实际情况来确定。
3、重启syslog服务
#/etc/init.d/syslog stop
#/etc/init.d/syslog start
1.1.9 记录安全事件日志
1、redhat5.x之前编辑/etc/syslog.conf,在文件中加入如下内容:
*.err;kern.debug;daemon.notice /var/adm/messages,其中/var/adm/messages为日志文件。
(1)、如果该文件不存在,则创建该文件,命令为:
#touch /var/adm/messages
(2)、修改权限为666,命令为:
#chmod 666 /var/adm/messages
(3)、重启日志服务:
#/etc/init.d/syslog restart
2、redhat6.x编辑/etc/rsyslog.conf,在文件中加入如下内容:
*.err;kern.debug;daemon.notice /var/adm/messages,其中/var/adm/messages为日志文件。
(1)、如果该文件不存在,则创建该文件,命令为:
#touch /var/adm/messages
(2)、修改权限为666,命令为:
#chmod 666 /var/adm/messages
(3)、重启日志服务:
systemctl restart rsyslog.service
#/etc/init.d/syslog restart
3、SUSE编辑文件/etc/syslog-ng/syslog-ng.conf,在文件中加入如下内容:
filter f_msgs { level(err) or facility(kern) and level(debug) or facility(daemon) and level(notice); };
destination msgs { file("/var/adm/msgs"); };
log { source(src); filter(f_msgs); destination(msgs); }; 其中/var/adm/msgs为日志文件。
(1)、如果该文件不存在,则创建该文件,命令为:
#touch /var/adm/msgs
(2)、修改权限为666,命令为:
#chmod 666 /var/adm/msgs
(3)、重启日志服务:
#/etc/init.d/syslog restart
1.1.10限制root用户SSH远程登录(禁用root用户远程访问系统)
1、执行备份:
#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak
2、新建一个普通用户并设置高强度密码(防止设备上只存在root用户可用时,无法远程访问):
#useradd username
3、禁止root用户远程登录系统
(1)、编辑文件/etc/ssh/sshd_config(vi /etc/ssh/sshd_config),修改PermitRootLogin值为no并去掉注释。
PermitRootLogin no #则禁止了root从ssh登录。
(2)、重启SSH服务
systemctl restart sshd.service
#/etc/init.d/sshd restart
4、修改SSH协议版本
(1)、编辑文件/etc/ssh/sshd_config(vi /etc/ssh/sshd_config),修改Protocol的值为2并去掉注释。
Protocol 2
(2)、重启ssh服务
systemctl restart sshd.service
1.1.11限制root用户SSH远程登录(ssh协议使用版本2)
1、执行备份:
#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak
2、新建一个普通用户并设置高强度密码(防止设备上只存在root用户可用时,无法远程访问):
#useradd username
#passwd username
3、禁止root用户远程登录系统
(1)、编辑文件/etc/ssh/sshd_config(vi /etc/ssh/sshd_config),修改PermitRootLogin值为no并去掉注释。
PermitRootLogin no #则禁止了root从ssh登录。
(2)、重启SSH服务
systemctl restart sshd.service
#/etc/init.d/sshd restart
4、修改SSH协议版本
(1)、编辑文件/etc/ssh/sshd_config(vi /etc/ssh/sshd_config),修改Protocol的值为2并去掉注释。
Protocol 2
(2)、重启ssh服务
systemctl restart sshd.service
#/etc/init.d/sshd restart
1.1.12使用SSH协议进行远程维护(ssh服务状态)
1、关闭TELNET服务(如果设备安装了TELNET服务则执行以下操作关闭,否则无需操作):
(1)、备份
#cp -p /etc/xinetd.d/telnet /etc/xinetd.d/telnet_bak
(2)、编辑文件/etc/xinetd.d/telnet(vi /etc/xinetd.d/telnet),把disable项改为yes,即disable = yes。
(3)、执行以下命令重启xinetd服务。
#service xinetd restart
2、开启SSH服务:
(1)、安装SSH软件包。
(2)、通过以下命令启动ssh服务:
#/etc/init.d/sshd start
1.1.13登陆超时时间设置
1、执行备份
#cp -p /etc/profile /etc/profile_bak
2、在/etc/profile文件增加以下两行(如果存在则修改,否则手工添加):
#vi /etc/profile
TMOUT=300 #TMOUT按秒计算
export TMOUT
1.1.14系统core dump状态(/etc/security/limits.conf)
1、编辑文件/etc/security/limits.conf(vi /etc/security/limits.conf),在文件末尾加入如下两行(存在则修改,不存在则新增):
* soft core 0
* hard core 0
1.1.15修改SSH的Banner信息
1、修改文件/etc/motd的内容,如没有该文件,则创建它:
#touch /etc/motd
2、使用如下命令在文件/etc/motd中添加banner信息。
### #echo " Authorized users only. All activity may be monitored and reported " > /etc/motd
vim /etc/motd
Access denied
1.1.16控制远程访问的IP地址(allowno)
1、执行备份:
#cp -p /etc/hosts.allow /etc/hosts.allow_bak
2、编辑/etc/hosts.allow文件,增加一行 service: 允许访问的IP(service为服务,例如sshd),举例如下:all:192.168.4.44:allow #允许单个IP访问所有服务进程
sshd:192.168.1.*:allow #允许192.168.1.0的整个网段访问SSH服务进程
1.1.17控制远程访问的IP地址(denyno)
1、执行备份:
#cp -p /etc/hosts.deny /etc/hosts.deny_bak
2、编辑文件/etc/hosts.deny增加一行(deny优先级高于allow)
all:all
#拒绝一切远程访问配合文件hosts.allow使用。
1.1.18配置NTP(ntp服务状态)
1、编辑ntp 的配置文件:
#vi /etc/ntp.conf 在server一行添加ntp服务器的IP地址
2、启动ntpd服务:
#/etc/init.d/ntpd start #suse9启动ntp服务为:/etc/init.d/xntpd start
1.1.19配置NTP( 为目标主机配置ntp服务器的个数)
1、编辑ntp 的配置文件:
#vi /etc/ntp.conf 在server一行添加ntp服务器的IP地址
2、启动ntpd服务:
#/etc/init.d/ntpd start #suse9启动ntp服务为:/etc/init.d/xntpd start
1.1.20禁止IP源路由
如果此项检查失败,请执行以下命令进行修复:
vim /etc/rc.d/rc.local 添加以下内容
#for f in /proc/sys/net/ipv4/conf/*/accept_source_route
do
echo 0 > $f
done
1.1.21更改主机解析地址的顺序
1、编辑/etc/host.conf文件
#vi /etc/host.conf,在空白处加入下面三行:
order hosts,bind #第一项设置首先通过DNS解析IP地址,然后通过hosts文件解析。
multi on #第二项设置检测是否"/etc/hosts"文件中的主机是否拥有多个IP地址(比如有多个以太口网卡)。
nospoof on #第三项设置说明要注意对本机未经许可的IP欺骗。
1.1.22更改主机解析地址的顺序
1、编辑/etc/host.conf文件
#vi /etc/host.conf,在空白处加入下面三行:
order hosts,bind #第一项设置首先通过DNS解析IP地址,然后通过hosts文件解析。
multi on #第二项设置检测是否"/etc/hosts"文件中的主机是否拥有多个IP地址(比如有多个以太口网卡)。
nospoof on #第三项设置说明要注意对本机未经许可的IP欺骗。
1.1.23历史命令设置
1、编辑文件/etc/profile,在文件中加入如下两行(存在则修改):
HISTFILESIZE=5
HISTSIZE=5
2、执行以下命令让配置生效
#source /etc/profile
Linux操作系统加固建议的更多相关文章
- Linux操作系统加固
1. 账号和口令 1.1 禁用或删除无用账号 减少系统无用账号,降低安全风险. 操作步骤 使用命令 userdel <用户名> 删除不必要的账号. 使用命令 passwd -l <用 ...
- 阿里云服务器 ECS Linux操作系统加固
1. 账号和口令 1.1 禁用或删除无用账号 减少系统无用账号,降低安全风险. 操作步骤 使用命令 userdel <用户名> 删除不必要的账号. 使用命令 passwd -l <用 ...
- Linux主机操作系统加固规范
对于企业来说,安全加固是一门必做的安全措施.主要分为:账号安全.认证授权.协议安全.审计安全.总的来说,就是4A(统一安全管理平台解决方案),账号管理.认证管理.授权管理.审计管理.用漏洞扫描工具 ...
- Centos7.0操作系统加固常见方法
1. 账号和口令 1.1 禁用或删除无用账号 减少系统无用账号,降低安全风险. 操作步骤 使用命令 userdel <用户名> 删除不必要的账号. 使用命令 passwd -l <用 ...
- linux系统加固方案
Linux主机操作系统加固规范 目 录 第1章 概述... 1 1.1 目的... 1 1.2 适用范围... 1 1.3 适用版本... 1 1 ...
- 献给初学者:谈谈如何学习Linux操作系统
本文出自 “技术成就梦想” 博客,请务必保留此出处http://ixdba.blog.51cto.com/2895551/569329. 为了能把这篇不错的文章分享给大家.所以请允许我暂时用原创的形式 ...
- 安装Kali Linux操作系统Kali Linux无线网络渗透
安装Kali Linux操作系统Kali Linux无线网络渗透 Kali Linux是一个基于Debian的Linux发行版,它的前身是BackTrack Linux发行版.在该操作系统中,自带了大 ...
- linux 操作系统下c语言编程入门
2)Linux程序设计入门--进程介绍 3)Linux程序设计入门--文件操作 4)Linux程序设计入门--时间概念 5)Linux程序设计入门--信号处理 6)Linux程序设计入门--消息管理 ...
- 如何保护你的linux操作系统
如何保护你的linux操作系统 导读 在现在这个世道中,Linux操作系统的安全是十分重要的.但是,你得知道怎么干.一个简单反恶意程序软件是远远不够的,你需要采取其它措施来协同工作.那么试试下面这些手 ...
- Linux操作系统--定时任务
最近在学习Linux操作系统.学到了关于定时任务的章节,作为一个总结写下这篇文章.在Linux中,我们可以将耗时大的任务如复制大文件,压缩.解压缩大文件等放进定时任务中(深夜执行,因为工作时间访问量大 ...
随机推荐
- 离线生成双语字幕,一键生成中英双语字幕,基于AI大模型,ModelScope
制作双语字幕的方案网上有很多,林林总总,不一而足.制作双语字幕的原理也极其简单,无非就是人声背景音分离.语音转文字.文字翻译,最后就是字幕文件的合并,但美中不足之处这些环节中需要接口api的参与,比如 ...
- Midjourney|文心一格prompt教程[技巧篇]:生成多样性、增加艺术风格、图片二次修改、渐进优化、权重、灯光设置等17个技巧等你来学
Midjourney|文心一格prompt教程[技巧篇]:生成多样性.增加艺术风格.图片二次修改.渐进优化.权重.灯光设置等17个技巧等你来学 1.技巧一:临摹 我认为学习图片类的 prompt,跟学 ...
- 《熬夜整理》保姆级系列教程-玩转Wireshark抓包神器教程(1)-初识Wireshark
1.简介 前边已经介绍过两款抓包工具,应该是够用了,也能够处理在日常工作中遇到的问题了,但是还是有人留言让宏哥要讲解讲解Wireshark这一款抓包工具,说实话宏哥之前也没有用过这款工具,只能边研究边 ...
- element-ui表格筛选,根据表头属性显示隐藏列
效果: 步骤: 1.标签上添加要过滤的源数组 <el-table-column label="标签" :filters="filterList" filt ...
- golang 中 取切片元素 与 切片再生成切片的区别
func main() { //定义一个切片 a := []byte{1, 2, 3} fmt.Printf("a的类型%T\n", a) //a的类型[]uint8 fmt.Pr ...
- 借助 .NET 开源库 Sdcb.DashScope 调用阿里云灵积通义千问 API
在昨天的博文中,我们通过 Semantic Kernel 调用了自己部署的通义千问开源大模型,但是自己部署通义千问对服务器的配置要求很高,即使使用抢占式按量实例,每次使用时启动服务器,使用完关闭服务器 ...
- CF327C Magic Five 题解
题目传送门 前置知识 等比数列求和公式 | 乘法逆元 解法 设 \(lena\) 表示 \(a\) 的长度. 首先,若一个数能被 \(5\) 整除,则该数的末尾一定为 \(0\) 或 \(5\).故考 ...
- NC19999 [HAOI2016]放棋子
题目链接 题目 题目描述 给你一个N*N的矩阵,每行有一个障碍,数据保证任意两个障碍不在同一行,任意两个障碍不在同一列,要求你在这个矩阵上放N枚棋子(障碍的位置不能放棋子),要求你放N个棋子也满足每行 ...
- od命令
od命令 od命令会读取所指定的文件的内容,并将其内容以八进制字节码呈现出来. 语法 od [OPTION]... [FILE]... od [-abcdfilosx]... [FILE] [[+]O ...
- Java设计模式-外观模式Facade
介绍 外观模式(Facade),也叫"过程模式:外观模式为子系统中的一组接口提供一个一致的界面,此模式定义了一个高层接口,这个接口使得这一子系统更加容易使用 外观模式通过定义一个一致的接口, ...