linux安全防護(hù)

一、賬戶安全

1.1鎖定系統(tǒng)中多余的自建賬戶

檢查方法：

美國(guó)總統(tǒng)之行政命令

#cat /etc/passwd

#貓/etc/影子

檢查帳戶和密碼文件，并與系統(tǒng)管理員確認(rèn)不必要的帳戶。對(duì)于一些保留的系統(tǒng)偽賬號(hào)如bin、sys、adm、uucp、lp、nuucp、hpdb、www、daemon等?？梢愿鶕?jù)需要登錄。

備份方法：

# CP-p/etc/passwd/etc/passwd _ bak

# CP-p/etc/shadow/etc/shadow _ bak

加固方法：

使用passwd -l用戶名鎖定不必要的帳戶。

使用passwd -u用戶名解鎖要恢復(fù)的帳戶。

1.2設(shè)置系統(tǒng)密碼策略

檢查方法：

使用命令

#cat /etc/login.defs|grep PASS查看密碼策略設(shè)置

備份方法：

CP-p/etc/log in . defs/etc/log in . defs _ bak

加固方法：

#vi /etc/login.defs修改配置文件

PASS_MAX_DAYS 90 #新創(chuàng)建用戶密碼的最大天數(shù)

PASS_MIN_DAYS 0 #使用新用戶密碼的最小天數(shù)

PASS_WARN_AGE 7 #提前提醒新創(chuàng)建用戶密碼到期的天數(shù)。

PASS_MIN_LEN 9 #最小密碼長(zhǎng)度9

1.3禁用超級(jí)用戶而非超級(jí)用戶。

檢查方法：

#cat /etc/passwd查看密碼文件。密碼文件格式如下：

登錄名：密碼：用戶標(biāo)識(shí)：組標(biāo)識(shí)：注釋?zhuān)褐黜?yè)目錄：命令

登錄名：用戶名

密碼：加密的用戶密碼。

User_ID:用戶ID，(1 ~ 6000)如果用戶ID=0，則該用戶擁有超級(jí)用戶權(quán)限?？纯催@里是否有多個(gè)ID=0。

Group_ID:用戶組ID

評(píng)論：用戶的全名或其他評(píng)論信息。

Home_dir:用戶根目錄

命令：用戶登錄后執(zhí)行的命令。

備份方法：

# CP-p/etc/passwd/etc/passwd _ bak

加固方法：

使用passwd -l用戶名鎖定不必要的超級(jí)帳戶。

使用passwd -u用戶名解鎖需要恢復(fù)的超級(jí)帳戶。

風(fēng)險(xiǎn)：你需要和管理員確認(rèn)這個(gè)超級(jí)用戶的用途。

1.4限制蘇燦作為根用戶的用戶。

檢查方法：

#cat /etc/pam.d/su查看是否有類(lèi)似auth required/lib/security/PAM _ wheel . so的配置條目。

備份方式：#cp -p /etc/pam.d /etc/pam.d_bak

加固方法：

#vi /etc/pam.d/su

在標(biāo)題處添加：

需要授權(quán)/lib/security/PAM _ wheel . so group=wheel

這樣，只有輪組的用戶蘇燦才能root。

#usermod -G10測(cè)試將測(cè)試用戶添加到車(chē)輪組。

當(dāng)系統(tǒng)認(rèn)證出現(xiàn)問(wèn)題時(shí)，首先要檢查/var/log/messages或者/var/log/secure中的輸出信息，根據(jù)這些信息判斷用戶賬號(hào)的有效性。

做愛(ài)。如果因?yàn)镻AM認(rèn)證失敗導(dǎo)致root無(wú)法登錄，只能使用單用戶或者救援模式進(jìn)行調(diào)試。

1.5檢查影子空心密碼賬戶

檢查方法：

# awk-F:“(==' '){ print }”/etc/shadow

備份方式：cp -p /etc/shadow /etc/shadow_bak

加固方法：鎖定空密碼賬號(hào)，或者要求追加密碼。

第二，最小化服務(wù)

2.1停止或停用與承載業(yè)務(wù)無(wú)關(guān)的服務(wù)。

檢查方法：

# whor或runlevel查看當(dāng)前的初始化級(jí)別

# chkconfig-list查看所有服務(wù)的狀態(tài)

備份方法：記錄要關(guān)閉的服務(wù)的名稱(chēng)。

加固方法：

# chkconfig-level service name on | off | reset設(shè)置服務(wù)在初始化級(jí)別啟動(dòng)時(shí)是否啟動(dòng)。

三。數(shù)據(jù)訪問(wèn)控制

3.1設(shè)置合理的初始文件權(quán)限。

檢查方法：

#cat /etc/profile查看umask的值

備份方法：

# CP-p/etc/profile/etc/profile _ bak

加固方法：

#vi /etc/profile

umask=027

風(fēng)險(xiǎn)：新創(chuàng)建文件的默認(rèn)權(quán)限將被修改。如果服務(wù)器是WEB應(yīng)用程序，將仔細(xì)修改此項(xiàng)。

四。網(wǎng)絡(luò)訪問(wèn)控制

4.1使用SSH進(jìn)行管理

檢查方法：

# PSAEF | grepshd檢查此服務(wù)是否可用。

備份方法：

加固方法：

使用命令啟動(dòng)ssh服務(wù)。

#服務(wù)sshd啟動(dòng)

風(fēng)險(xiǎn)：改變管理員的使用習(xí)慣。

4.2設(shè)置訪問(wèn)控制策略以限制本機(jī)器的IP地址。

檢查方法：

#cat /etc/ssh/sshd_config查看是否有AllowUsers的語(yǔ)句。

備份方法：

# CP-p/etc/ssh/sshd _ config/etc/ssh/sshd _ config _ bak

加固方法：

#vi /etc/ssh/sshd_config，添加以下語(yǔ)句

AllowUsers *@10.138。*.*這句話的意思是：只允許10.138.0.0/16網(wǎng)段內(nèi)的所有用戶通過(guò)ssh訪問(wèn)。

保存并重啟ssh服務(wù)。

#服務(wù)sshd重啟

風(fēng)險(xiǎn)：有必要確認(rèn)可以由管理員管理的IP段。

4.3禁止root用戶遠(yuǎn)程登錄。

檢查方法：

#cat /etc/ssh/sshd_config查看PermitRootLogin是否為no

備份方法：

# CP-p/etc/ssh/sshd _ config/etc/ssh/sshd _ config _ bak

加固方法：

#vi /etc/ssh/sshd_config

PermitRootLogin登錄號(hào)

保存并重啟ssh服務(wù)。

服務(wù)sshd重啟

4.4有限信任主機(jī)

檢查方法：

#cat /etc/hosts.equiv檢查主機(jī)。

#cat /$HOME/。rhosts以查看其中的主機(jī)

備份方法：

# CP-p/etc/hosts . equiv/etc/hosts . equiv _ bak

#cp -p /$HOME/。rhosts /$HOME/。羅茲貝克

加固方法：

#vi /etc/hosts.equiv刪除不必要的主機(jī)。

#vi /$HOME/。rhosts刪除不必要的主機(jī)。

風(fēng)險(xiǎn)：在多機(jī)備份環(huán)境下，需要保留其他主機(jī)的可信IP。

4.5阻止登錄橫幅信息

檢查方法：

#cat /etc/ssh/sshd_config查看文件中是否存在標(biāo)題字段，或者標(biāo)題字段是否為NONE。

#cat /etc/motd查看文件的內(nèi)容，這些內(nèi)容將作為標(biāo)題信息顯示給登錄的用戶。

備份方法：

# CP-p/etc/ssh/sshd _ config/etc/ssh/sshd _ config _ bak

#cp -p /etc/motd /etc/motd_bak

加固方法：

#vi /etc/ssh/sshd_config

無(wú)橫幅

#vi /etc/motd

刪除所有內(nèi)容或更新您要添加的內(nèi)容。

風(fēng)險(xiǎn)：無(wú)可見(jiàn)風(fēng)險(xiǎn)。

4.6防止誤用Ctrl Alt Del來(lái)重啟系統(tǒng)

檢查方法：

# cat/etc/inittab | grep ctrl alt del查看輸入行是否被注釋。

備份方法：

# CP-p/etc/inittab/etc/inittab _ bak

加固方法：

#vi /etc/inittab

在行首添加注釋符號(hào)“#”。

# ca:ctrl altdel:/sbin/shut down-T3-r now

動(dòng)詞（verb的縮寫(xiě)）用戶認(rèn)證

5.1設(shè)置賬號(hào)鎖定登錄失敗的次數(shù)和時(shí)間。

檢查方法：

#cat /etc/pam.d/system-auth檢查是否有任何auth required pam_tally.so條目的設(shè)置。

備份方法：

# CP-p/etc/PAM . d/system-auth/etc/PAM . d/system-auth _ bak

加固方法：

#vi /etc/pam.d/system-auth

需要驗(yàn)證PAM _ tally。soon err=fail deny=6 unlock _ time=300設(shè)置為連續(xù)鎖定密碼6次，鎖定時(shí)間為300秒。

解鎖用戶失敗日志-u用戶名-r

風(fēng)險(xiǎn)：需要PAM包的支持；對(duì)pam文件的修改要仔細(xì)檢查，一旦出現(xiàn)錯(cuò)誤會(huì)導(dǎo)致無(wú)法登錄；

當(dāng)系統(tǒng)認(rèn)證出現(xiàn)問(wèn)題時(shí)，首先要檢查/var/log/messages或者/var/log/secure中的輸出信息，根據(jù)這些信息判斷用戶賬號(hào)的有效性。

5.2修改賬號(hào)TMOUT值，設(shè)置自動(dòng)注銷(xiāo)時(shí)間。

檢查方法：

#cat /etc/profile檢查是否有TMOUT的設(shè)置。

備份方法：

# CP-p/etc/profile/etc/profile _ bak

加固方法：

#vi /etc/profile

提高

TMOUT=600無(wú)操作600秒后自動(dòng)退出

風(fēng)險(xiǎn)：無(wú)可見(jiàn)風(fēng)險(xiǎn)。

5.3 Grub/Lilo密碼

檢查方法：

# cat/etc/grub . conf | grep password查看grub是否設(shè)置了密碼。

# cat/etc/lilo . conf | grep password檢查lilo是否設(shè)置了密碼。

備份方法：

# CP-p/etc/grub . conf/etc/grub . conf _ bak

# CP-p/etc/lilo . conf/etc/lilo . conf _ bak

強(qiáng)化：為grub或lilo設(shè)置密碼

風(fēng)險(xiǎn)：etc/grub.conf通常鏈接到/boot /boot/grub/grub.conf

5.4限制FTP登錄

檢查方法：

#cat /etc/ftpusers確認(rèn)是否包含用戶名，不允許登錄FTP服務(wù)。

備份方法：

# CP-p/etc/ftpusers/etc/ftpusers _ bak

加固方法：

#vi /etc/ftpusers添加行，每行包含一個(gè)用戶名，添加的用戶將被禁止登錄FTP服務(wù)。

風(fēng)險(xiǎn)：無(wú)可見(jiàn)風(fēng)險(xiǎn)。

5.5設(shè)置Bash保留歷史命令的數(shù)量。

檢查方法：

#cat /etc/profile|grep HISTSIZE=

# cat/etc/profile | grepHistFileSize=查看要保留歷史記錄的命令數(shù)量。

備份方法：

# CP-p/etc/profile/etc/profile _ bak

加固方法：

#vi /etc/profile

修改HISTSIZE=5和HISTFILESIZE=5以保留五個(gè)新執(zhí)行的命令。

不及物動(dòng)詞審計(jì)策略

6.1配置系統(tǒng)日志策略配置文件

檢查方法：

# PSAEF | grep系統(tǒng)日志確認(rèn)系統(tǒng)日志是否已啟用。

#cat /etc/syslog.conf檢查syslogd的配置，確認(rèn)日志文件是否存在。

系統(tǒng)日志(默認(rèn))/var/log/messages

Cron日志(默認(rèn))/var/log/cron

安全日志(默認(rèn))/var/log/secure

備份方法：