linux安全策略如何加固

這篇文章主要為大家展示了“l(fā)inux安全策略如何加固”，內(nèi)容簡(jiǎn)而易懂，條理清晰，希望能夠幫助大家解決疑惑，下面讓小編帶領(lǐng)大家一起研究并學(xué)習(xí)一下“l(fā)inux安全策略如何加固”這篇文章吧。

創(chuàng)新互聯(lián)公司是一家集網(wǎng)站建設(shè),溪湖企業(yè)網(wǎng)站建設(shè),溪湖品牌網(wǎng)站建設(shè),網(wǎng)站定制,溪湖網(wǎng)站建設(shè)報(bào)價(jià),網(wǎng)絡(luò)營(yíng)銷,網(wǎng)絡(luò)優(yōu)化,溪湖網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)，幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強(qiáng)企業(yè)競(jìng)爭(zhēng)力?？沙浞譂M足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時(shí)我們時(shí)刻保持專業(yè)、時(shí)尚、前沿，時(shí)刻以成就客戶成長(zhǎng)自我，堅(jiān)持不斷學(xué)習(xí)、思考、沉淀、凈化自己，讓我們?yōu)楦嗟钠髽I(yè)打造出實(shí)用型網(wǎng)站。

賬號(hào)管理
一、口令鎖定策略
1、執(zhí)行備份
（1）、redhat執(zhí)行備份：
#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak
（2）、SUSE9：
#cp -p /etc/pam.d/passwd /etc/pam.d/passwd.bak
（3）、SUSE10：
#cp -p /etc/pam.d/common-password /etc/pam.d/common-password.bak
2、修改策略設(shè)，編輯文件/etc/pam.d/system-auth(SUSE:/etc/pam.d/passwd)增加如下內(nèi)容：
auth required pam_tally2.so deny=5 onerr=fail no_magic_root unlock_time=180 #unlock_time單位為秒
account required pam_tally2.so #(redhat5.1以上版本支持 pam_tally2.so,其他版本使用pam_tally.so)
二、口令生存周期
1、執(zhí)行備份：
#cp -p /etc/login.defs /etc/login.defs_bak
2、修改策略設(shè)置，編輯文件/etc/login.defs(vi /etc/login.defs)，在文件中加入如下內(nèi)容(如果存在則修改，不存在則添加)：
PASS_MAX_DAYS 90
PASS_MIN_DAYS 10
PASS_WARN_AGE 7
三、密碼復(fù)雜度
1、redhat系統(tǒng)
編輯文件/etc/pam.d/system-auth，在文件中找到如下內(nèi)容：
password requisite pam_cracklib.so，將其修改為：
password requisite pam_cracklib.so try_first_pass retry=3 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=8 #至少包含一個(gè)數(shù)字、一個(gè)小寫字母、一個(gè)大寫字母、一個(gè)特殊字符、且密碼長(zhǎng)度>=8
2、suse9編輯/etc/pam.d/passwd、suse10以上編輯/etc/pam.d/common-password，在文件中加入如下內(nèi)容(如果文件中存在password的行請(qǐng)首先注釋掉)：
password required pam_pwcheck.so nullok
password requisite pam_cracklib.so dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=8 use_authtok
password required pam_unix2.so nullok use_first_pass use_authtok
四、刪除或鎖定無關(guān)賬號(hào)
1、如果以下用戶(lp|sync|halt|news|uucp|operator|games|gopher|smmsp|nfsnobody|nobody)沒有被刪除或鎖定，可以使用如下命令對(duì)其進(jìn)行操作：
（1）、刪除用戶：
#userdel username
（2）、鎖定用戶：
#passwd -l username #鎖定用戶，只有具備超級(jí)用戶權(quán)限的使用者方可使用。
#passwd –d username #解鎖用戶，解鎖后原有密碼失效,登錄設(shè)置新密碼才能登錄。
#passwd -u username #解鎖用戶后，原密碼仍然有效。
（3）、修改用戶shell域?yàn)?bin/false
#usermod -s /bin/false username #命令來更改相應(yīng)用戶的shell為/bin/false，其中[name]為要修改的具體用戶名。
passwd -l lp
passwd -l sync
passwd -l halt
passwd -l news
passwd -l uucp
passwd -l operator
passwd -l games
passwd -l gopher
passwd -l smmsp
passwd -l nfsnobody
passwd -l nobody

usermod -s /bin/false lp
usermod -s /bin/false sync
usermod -s /bin/false halt
usermod -s /bin/false news
usermod -s /bin/false uucp
usermod -s /bin/false operator
usermod -s /bin/false games
usermod -s /bin/false gopher
usermod -s /bin/false smmsp
usermod -s /bin/false nfsnobody
usermod -s /bin/false nobody
五、口令重復(fù)限制
1、執(zhí)行備份
#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth.bak
#cp -p /etc/pam.d/passwd /etc/pam.d/passwd.bak
#cp -p /etc/pam.d/common-password /etc/pam.d/common-password.bak
2、創(chuàng)建文件/etc/security/opasswd用于存儲(chǔ)舊密碼，并設(shè)置權(quán)限。
#touch /etc/security/opasswd
#chown root:root /etc/security/opasswd
#chmod 600 /etc/security/opasswd
3、修改策略設(shè)置
#vi /etc/pam.d/system-auth((SUSE9:/etc/pam.d/passwd、SUSE10以上/etc/pam.d/common-password)在類似password sufficient pam_unix.so所在行末尾增加remember=5，中間以空格隔開.如果沒有則新增，例如:
password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok remember=5
=================
口令策略
一、文件與目錄缺省權(quán)限控制
1、首先對(duì)/etc/profile進(jìn)行備份：
#cp /etc/profile /etc/profile.bak
2、編輯文件/etc/profile，在文件末尾加上如下內(nèi)容：
umask 027
3、執(zhí)行以下命令讓配置生效：
#source /etc/profile
二、用戶最小權(quán)限控制
1、賦予用戶相關(guān)賬號(hào)文件最小權(quán)限
#chmod 644 /etc/passwd
#chmod 400 /etc/shadow
#chmod 644 /etc/group
#chmod 644 /etc/services
#chmod 600 /etc/xinetd.conf
#chmod 600 /etc/security
三、修改SSH的Banner警告信息
1、如果此項(xiàng)檢查不合規(guī)，執(zhí)行以下步驟進(jìn)行修復(fù)。
執(zhí)行如下命令創(chuàng)建ssh banner信息文件：
#touch /etc/ssh_banner
#chown bin:bin /etc/ssh_banner
#chmod 644 /etc/ssh_banner
#echo " Authorized only. All activity will be monitored and reported " > /etc/ssh_banner
可根據(jù)實(shí)際需要修改該文件的內(nèi)容。
2、修改/etc/ssh/sshd_config文件，添加如下行：
Banner /etc/ssh_banner
3、重啟sshd服務(wù):
#/etc/init.d/sshd restart
四、設(shè)置關(guān)鍵文件的屬性
1、更改該日子文件屬性
#chattr +a /var/log/messages #如果不存在則忽略
========================
認(rèn)證授權(quán)
一、啟用遠(yuǎn)程日志功能
1、linux
編輯文件 /etc/syslog.conf或者/etc/rsyslog.conf，增加如下內(nèi)容：
*.* @<日志服務(wù)器ip或者域名>
2、suse
編輯文件/etc/syslog-ng/syslog-ng.conf，增加如下內(nèi)容：
destination logserver { udp("192.168.56.168" port(514)); };
log { source(src); destination(logserver); };
#日志服務(wù)器ip視實(shí)際情況來確定。
3、重啟syslog服務(wù)
#/etc/init.d/syslog stop
#/etc/init.d/syslog start
二、記錄安全事件日志
1、redhat5.x之前編輯/etc/syslog.conf，在文件中加入如下內(nèi)容:
*.err;kern.debug;daemon.notice /var/adm/messages，其中/var/adm/messages為日志文件。
（1）、如果該文件不存在，則創(chuàng)建該文件，命令為：
#touch /var/adm/messages
（2）、修改權(quán)限為666，命令為：
#chmod 666 /var/adm/messages
（3）、重啟日志服務(wù)：
#/etc/init.d/syslog restart
2、redhat6.x編輯etc/rsyslog.conf，在文件中加入如下內(nèi)容:
*.err;kern.debug;daemon.notice /var/adm/messages，其中/var/adm/messages為日志文件。
（1）、如果該文件不存在，則創(chuàng)建該文件，命令為：
#touch /var/adm/messages
（2）、修改權(quán)限為666，命令為:
#chmod 666 /var/adm/messages
（3）、重啟日志服務(wù)：
#/etc/init.d/syslog restart
3、SUSE編輯文件/etc/syslog-ng/syslog-ng.conf，在文件中加入如下內(nèi)容：
filter f_msgs { level(err) or facility(kern) and level(debug) or facility(daemon) and level(notice); };
destination msgs { file("/var/adm/msgs"); };
log { source(src); filter(f_msgs); destination(msgs); }; 其中/var/adm/msgs為日志文件。
（1）、如果該文件不存在，則創(chuàng)建該文件，命令為:
#touch /var/adm/msgs
（2）、修改權(quán)限為666，命令為：
#chmod 666 /var/adm/msgs
（3）、重啟日志服務(wù)：
#/etc/init.d/syslog restart
======
系統(tǒng)服務(wù)
一、限制root用戶SSH遠(yuǎn)程登錄
1、執(zhí)行備份：
#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak
2、新建一個(gè)普通用戶并設(shè)置高強(qiáng)度密碼(防止設(shè)備上只存在root用戶可用時(shí)，無法遠(yuǎn)程訪問)：
#useradd username
#passwd username
3、禁止root用戶遠(yuǎn)程登錄系統(tǒng)
（1）、編輯文件/etc/ssh/sshd_config(vi /etc/ssh/sshd_config)，修改PermitRootLogin值為no并去掉注釋。
PermitRootLogin no #則禁止了root從ssh登錄。
（2）、重啟SSH服務(wù)
#/etc/init.d/sshd restart
4、修改SSH協(xié)議版本
（1）、編輯文件/etc/ssh/sshd_config(vi /etc/ssh/sshd_config)，修改Protocol的值為2并去掉注釋。
Protocol 2
（2）、重啟ssh服務(wù)
#/etc/init.d/sshd restart
=============
文件權(quán)限
一、登陸超時(shí)時(shí)間設(shè)置
1、執(zhí)行備份
#cp -p /etc/profile /etc/profile_bak
2、在/etc/profile文件增加以下兩行(如果存在則修改，否則手工添加)：
#vi /etc/profile
TMOUT=300 #TMOUT按秒計(jì)算
export TMOUT
二、系統(tǒng)core dump狀態(tài)
1、編輯文件/etc/security/limits.conf(vi /etc/security/limits.conf)，在文件末尾加入如下兩行(存在則修改，不存在則新增)：
* soft core 0
* hard core 0
2、編輯文件/etc/profile(vi /etc/profile)注釋掉如下行：
#ulimit -S -c 0 > /dev/null 2>&1
三、修改SSH的Banner信息
1、修改文件/etc/motd的內(nèi)容，如沒有該文件，則創(chuàng)建它：
#touch /etc/motd
2、使用如下命令在文件/etc/motd中添加banner信息。
#echo " Authorized users only. All activity may be monitored and reported " > /etc/motd
可根據(jù)實(shí)際需要修改該文件的內(nèi)容。
四、禁止組合鍵關(guān)機(jī)
編輯文件/etc/inittab,將以下行刪除、注釋,或者將此行：
ca::ctrlaltdel:/sbin/shutdown -r -t 4 now
修改為：
ca::ctrlaltdel:/bin/true
五、禁止ICMP重定向
1、備份文件
#cp -p /etc/sysctl.conf /etc/sysctl.conf_bak
2、編輯文件 /etc/sysctl.conf，將net.ipv4.conf.all.accept_redirects的值改為0
3、使配置生效#sysctl -p
六、使用PAM認(rèn)證模塊禁止wheel組之外的用戶su為root
1、編輯文件(vi /etc/pam.d/su)
（1）、redhat4.x(32位)在文件開頭加入如下兩行(有則修改,沒有則添加):
auth sufficient /lib/security/$ISA/pam_rootok.so
auth required /lib/security/$ISA/pam_wheel.so use_uid
#注意auth與sufficient之間由兩個(gè)tab建隔開,sufficient與動(dòng)態(tài)庫(kù)路徑之間使用一個(gè)tab建隔開
（2）、redhat4.x(64位)在文件開頭加入如下兩行(有則修改,沒有則添加):
auth sufficient /lib64/security/$ISA/pam_rootok.so
auth required /lib64/security/$ISA/pam_wheel.so use_uid
#注意auth與sufficient之間由兩個(gè)tab建隔開,sufficient與動(dòng)態(tài)庫(kù)路徑之間使用一個(gè)tab建隔開
（3）、redhat5.x和redhat6.x在文件開頭加入如下兩行(有則修改,沒有則添加):
auth sufficient pam_rootok.so
auth required pam_wheel.so use_uid
#注意auth與sufficient之間由兩個(gè)tab建隔開，sufficient與動(dòng)態(tài)庫(kù)路徑之間使用一個(gè)tab建隔開
說明：(這表明只有wheel組中的用戶可以使用su命令成為root用戶。你可以把用戶添加到wheel組，以使它可以使用su命令成為root用戶。)
添加方法:
#usermod -G wheel username #username為需要添加至wheel組的賬戶名稱。
七、禁止IP源路由
1、如果此項(xiàng)檢查失敗,請(qǐng)執(zhí)行以下命令進(jìn)行修復(fù)：
for f in /proc/sys/net/ipv4/conf/*/accept_source_route
do
echo 0 > $f
done
八、更改主機(jī)解析地址的順序
1、編輯/etc/host.conf文件
#vi /etc/host.conf，在空白處加入下面三行：
order hosts,bind #第一項(xiàng)設(shè)置首先通過DNS解析IP地址,然后通過hosts文件解析。
multi on #第二項(xiàng)設(shè)置檢測(cè)是否"/etc/hosts"文件中的主機(jī)是否擁有多個(gè)IP地址(比如有多個(gè)以太口網(wǎng)卡)。
nospoof on #第三項(xiàng)設(shè)置說明要注意對(duì)本機(jī)未經(jīng)許可的IP欺騙。
九、更改歷史命令
1、編輯文件/etc/profile，在文件中加入如下兩行(存在則修改)：
HISTFILESIZE=5
HISTSIZE=5
2、執(zhí)行以下命令讓配置生效
#source /etc/profile

以上是“l(fā)inux安全策略如何加固”這篇文章的所有內(nèi)容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內(nèi)容對(duì)大家有所幫助，如果還想學(xué)習(xí)更多知識(shí)，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道！

網(wǎng)站欄目：linux安全策略如何加固
網(wǎng)站地址：http://muchs.cn/article0/iehhio.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供標(biāo)簽優(yōu)化、網(wǎng)站內(nèi)鏈、ChatGPT、域名注冊(cè)、網(wǎng)站營(yíng)銷、云服務(wù)器

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源：創(chuàng)新互聯(lián)

猜你還喜歡下面的內(nèi)容