Linux 安全加固方案.pdf
10墨值下载
Linux 安全加固
注:红色字体暂时没有做操作
1.严格按照用户类型分配账号
2.系统无效帐户清理
检查无用账户More /etc/passwd
备份Cp -p /etc/passwd/etc/passwd_bak 锁定Passwd -1 username
检查是否存在空密码的账户 Logins -p 应无回应 备份
#cp -p /etc/passwd /etc/passwd_bak cp -p /etc/shadow /etc/shadow_bak
锁定 passwd -1 username 或加密 passwd username
3.禁止限制超级管理员远程登录
4.对系统账号进行登录限制 Vi /etc/passwd 例如修改
lynn:x:500:500::/home/lynn:/sbin/bash 更改为:
lynn:x:500:500::/home/lynn:/sbin/nologin 该用户就无法登录了。 禁止所有用户登录。
touch /etc/nologin
除root以外的用户不能登录了。 2、补充操作说明
禁止交互登录的系统账号,比如daemon,bin,sys、adm、lp、uucp、nuucp、smmsp等等
5.为空口令用户设置密码 pwd username
6.删除除ROOT以外UID为0的账户 检查方法:
#cat /etc/passwd 查看口令文件,口令文件格式如下:
login_name:password:user_ID:group_ID:comment:home_dir:command
login_name:用户名
password:加密后的用户密码
user_ID:用户ID,(1 ~ 6000)
若用户ID=0,则该用户拥有超级用户的权限。查看此处是否有多个ID=0。
group_ID:用户组ID
comment:用户全名或其它注释信息 home_dir:用户根目录
command:用户登录后的执行命令 备份方法:
#cp -p /etc/passwd /etc/passwd_bak 加固方法:
使用命令passwd -l <用户名>锁定不必要的超级账户。 使用命令passwd -u
<用户名>解锁需要恢复的超级账户。 风险:需要与管理员确认此超级用户的用途。
7.设置系统口令策略
#vi /etc/login.defs修改配置文件
PASS_MAX_DAYS 90 #新建用户的密码最长使用天数 PASS_MIN_DAYS 0
#新建用户的密码最短使用天数
PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数 PASS_MIN_LEN 8
#最小密码长度8
8.设置关键目录的权限
通过chmod命令对目录的权限进行实际设置。 2、补充操作说明
etc/passwd 必须所有用户都可读,root用户可写 –rw-r—r— /etc/shadow 只有root可读 –r---
-----
/etc/group 必须所有用户都可读,root用户可写 –rw-r—r— 使用如下命令设置: chmod 644
/etc/passwd
chmod 600 /etc/shadow chmod 644 /etc/group
如果是有写权限,就需移去组及其它用户对/etc的写权限(特殊情况除外)
执行命令#chmod -R go-w /etc
9.设置umask地址 检查方法:
#cat /etc/profile 查看umask的值 备份方法:
#cp -p /etc/profile /etc/profile_bak 加固方法: #vi /etc/profile
默认情况下是022 使用者是002 把022 改成027 umask=027
风险:会修改新建文件的默认权限,如果该服务器是WEB应用,则此项谨慎修改。
TMOUT=180 export TMOUT
10.设置目录权限,防止非法访问目录需要重要目录 1、参考配置操作
of 8
10墨值下载
【版权声明】本文为墨天轮用户原创内容,转载时必须标注文档的来源(墨天轮),文档链接,文档作者等基本信息,否则作者和墨天轮有权追究责任。如果您发现墨天轮中有涉嫌抄袭或者侵权的内容,欢迎发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。
下载排行榜
评论