我们专注攀枝花网站设计 攀枝花网站制作 攀枝花网站建设
成都网站建设公司服务热线:400-028-6601

网站建设知识

十年网站开发经验 + 多家企业客户 + 靠谱的建站团队

量身定制 + 运营维护+专业推广+无忧售后,网站问题一站解决

linux安全策略如何加固

这篇文章主要为大家展示了“linux安全策略如何加固”,内容简而易懂,条理清晰,希望能够帮助大家解决疑惑,下面让小编带领大家一起研究并学习一下“linux安全策略如何加固”这篇文章吧。

创新互联公司是一家集网站建设,溪湖企业网站建设,溪湖品牌网站建设,网站定制,溪湖网站建设报价,网络营销,网络优化,溪湖网站推广为一体的创新建站企业,帮助传统企业提升企业形象加强企业竞争力。可充分满足这一群体相比中小企业更为丰富、高端、多元的互联网需求。同时我们时刻保持专业、时尚、前沿,时刻以成就客户成长自我,坚持不断学习、思考、沉淀、净化自己,让我们为更多的企业打造出实用型网站。

账号管理
一、口令锁定策略
1、执行备份    
    (1)、redhat执行备份:
        #cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak
    (2)、SUSE9:
        #cp -p /etc/pam.d/passwd /etc/pam.d/passwd.bak
    (3)、SUSE10:
        #cp -p /etc/pam.d/common-password /etc/pam.d/common-password.bak
2、修改策略设,编辑文件/etc/pam.d/system-auth(SUSE:/etc/pam.d/passwd)增加如下内容:
    auth required pam_tally2.so deny=5 onerr=fail no_magic_root unlock_time=180    #unlock_time单位为秒
    account  required  pam_tally2.so                                               #(redhat5.1以上版本支持 pam_tally2.so,其他版本使用pam_tally.so)
二、口令生存周期
1、执行备份:
    #cp -p /etc/login.defs /etc/login.defs_bak
2、修改策略设置,编辑文件/etc/login.defs(vi /etc/login.defs),在文件中加入如下内容(如果存在则修改,不存在则添加):
    PASS_MAX_DAYS 90
    PASS_MIN_DAYS 10
    PASS_WARN_AGE 7
三、密码复杂度
1、redhat系统
    编辑文件/etc/pam.d/system-auth,在文件中找到如下内容:
    password requisite  pam_cracklib.so,将其修改为:
    password requisite  pam_cracklib.so try_first_pass retry=3 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=8         #至少包含一个数字、一个小写字母、一个大写字母、一个特殊字符、且密码长度>=8
2、suse9编辑/etc/pam.d/passwd、suse10以上编辑/etc/pam.d/common-password,在文件中加入如下内容(如果文件中存在password的行请首先注释掉):
    password required       pam_pwcheck.so  nullok
    password requisite      pam_cracklib.so dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=8 use_authtok
    password required       pam_unix2.so    nullok use_first_pass use_authtok
四、删除或锁定无关账号
1、如果以下用户(lp|sync|halt|news|uucp|operator|games|gopher|smmsp|nfsnobody|nobody)没有被删除或锁定,可以使用如下命令对其进行操作:
    (1)、删除用户:
        #userdel username
    (2)、锁定用户:
        #passwd -l username        #锁定用户,只有具备超级用户权限的使用者方可使用。
        #passwd –d username      #解锁用户,解锁后原有密码失效,登录设置新密码才能登录。
        #passwd -u username       #解锁用户后,原密码仍然有效。
    (3)、修改用户shell域为/bin/false
        #usermod -s /bin/false username        #命令来更改相应用户的shell为/bin/false,其中[name]为要修改的具体用户名。
        passwd -l lp
passwd -l sync
passwd -l halt
passwd -l news
passwd -l uucp
passwd -l operator
passwd -l games
passwd -l gopher
passwd -l smmsp
passwd -l nfsnobody
passwd -l nobody


usermod -s /bin/false lp        
usermod -s /bin/false sync      
usermod -s /bin/false halt      
usermod -s /bin/false news      
usermod -s /bin/false uucp      
usermod -s /bin/false operator  
usermod -s /bin/false games     
usermod -s /bin/false gopher    
usermod -s /bin/false smmsp     
usermod -s /bin/false nfsnobody 
usermod -s /bin/false nobody  
五、口令重复限制
1、执行备份
    #cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth.bak
    #cp -p /etc/pam.d/passwd /etc/pam.d/passwd.bak
    #cp -p /etc/pam.d/common-password /etc/pam.d/common-password.bak
2、创建文件/etc/security/opasswd用于存储旧密码,并设置权限。
    #touch /etc/security/opasswd
    #chown root:root /etc/security/opasswd
    #chmod 600 /etc/security/opasswd
3、修改策略设置
    #vi /etc/pam.d/system-auth((SUSE9:/etc/pam.d/passwd、SUSE10以上/etc/pam.d/common-password)在类似password  sufficient pam_unix.so所在行末尾增加remember=5,中间以空格隔开.如果没有则新增,例如:
    password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok remember=5  
=================
口令策略
一、文件与目录缺省权限控制
1、首先对/etc/profile进行备份:                  
    #cp /etc/profile /etc/profile.bak            
2、编辑文件/etc/profile,在文件末尾加上如下内容:
    umask 027                                    
3、执行以下命令让配置生效:                      
    #source  /etc/profile 
二、用户最小权限控制
1、赋予用户相关账号文件最小权限                       
    #chmod 644 /etc/passwd     
    #chmod 400 /etc/shadow     
    #chmod 644 /etc/group      
    #chmod 644 /etc/services   
    #chmod 600 /etc/xinetd.conf
    #chmod 600 /etc/security   
三、修改SSH的Banner警告信息
1、如果此项检查不合规,执行以下步骤进行修复。                                               
    执行如下命令创建ssh banner信息文件:                                                    
    #touch /etc/ssh_banner                                                                  
    #chown bin:bin /etc/ssh_banner                                                          
    #chmod 644 /etc/ssh_banner                                                              
    #echo " Authorized only. All activity will be monitored and reported " > /etc/ssh_banner
    可根据实际需要修改该文件的内容。                                                        
2、修改/etc/ssh/sshd_config文件,添加如下行:                                               
    Banner /etc/ssh_banner                                                                  
3、重启sshd服务:                                                                            
    #/etc/init.d/sshd restart 
四、设置关键文件的属性      
1、更改该日子文件属性                                                                                           
    #chattr +a /var/log/messages       #如果不存在则忽略 
========================
认证授权
一、启用远程日志功能
1、linux                                                           
    编辑文件 /etc/syslog.conf或者/etc/rsyslog.conf,增加如下内容: 
        *.* @<日志服务器ip或者域名>                              
2、suse                                                            
    编辑文件/etc/syslog-ng/syslog-ng.conf,增加如下内容:          
        destination logserver { udp("192.168.56.168" port(514)); };
        log { source(src); destination(logserver); };              
        #日志服务器ip视实际情况来确定。                            
3、重启syslog服务                                                  
#/etc/init.d/syslog stop                                           
#/etc/init.d/syslog start
二、记录安全事件日志
1、redhat5.x之前编辑/etc/syslog.conf,在文件中加入如下内容:                                                 
    *.err;kern.debug;daemon.notice /var/adm/messages,其中/var/adm/messages为日志文件。                                                              
    (1)、如果该文件不存在,则创建该文件,命令为:                                                         
        #touch /var/adm/messages                                                                            
    (2)、修改权限为666,命令为:                                                                          
        #chmod 666 /var/adm/messages                                                                        
    (3)、重启日志服务:                                                                                   
        #/etc/init.d/syslog restart                                                                         
2、redhat6.x编辑etc/rsyslog.conf,在文件中加入如下内容:                                                     
    *.err;kern.debug;daemon.notice /var/adm/messages,其中/var/adm/messages为日志文件。                     
    (1)、如果该文件不存在,则创建该文件,命令为:                                                         
        #touch /var/adm/messages                                                                            
    (2)、修改权限为666,命令为:                                                                           
        #chmod 666 /var/adm/messages                                                                        
    (3)、重启日志服务:                                                                                   
        #/etc/init.d/syslog restart                                                                         
3、SUSE编辑文件/etc/syslog-ng/syslog-ng.conf,在文件中加入如下内容:                                        
    filter f_msgs { level(err) or facility(kern) and level(debug) or facility(daemon) and level(notice); }; 
    destination msgs { file("/var/adm/msgs"); };                                                            
    log { source(src); filter(f_msgs); destination(msgs); }; 其中/var/adm/msgs为日志文件。                  
    (1)、如果该文件不存在,则创建该文件,命令为:                                                          
        #touch /var/adm/msgs                                                                                
    (2)、修改权限为666,命令为:                                                                          
        #chmod 666 /var/adm/msgs                                                                            
    (3)、重启日志服务:                                                                                   
        #/etc/init.d/syslog restart 
======
系统服务
一、限制root用户SSH远程登录
1、执行备份:                                                                                          
    #cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak                                                                                                                        
2、新建一个普通用户并设置高强度密码(防止设备上只存在root用户可用时,无法远程访问):                    
    #useradd username                                                                                  
    #passwd username                                                                                   
3、禁止root用户远程登录系统                                                                            
    (1)、编辑文件/etc/ssh/sshd_config(vi /etc/ssh/sshd_config),修改PermitRootLogin值为no并去掉注释。
        PermitRootLogin no                      #则禁止了root从ssh登录。                               
    (2)、重启SSH服务                                                                                 
        #/etc/init.d/sshd restart                                                                      
4、修改SSH协议版本                                                                                     
    (1)、编辑文件/etc/ssh/sshd_config(vi /etc/ssh/sshd_config),修改Protocol的值为2并去掉注释。      
        Protocol 2                                                                                     
    (2)、重启ssh服务                                                                                 
        #/etc/init.d/sshd restart 
=============
文件权限
一、登陆超时时间设置   
    1、执行备份                                                                                                                    
        #cp -p /etc/profile /etc/profile_bak                         
    2、在/etc/profile文件增加以下两行(如果存在则修改,否则手工添加):
        #vi /etc/profile                                             
        TMOUT=300                                  #TMOUT按秒计算    
        export TMOUT 
二、系统core dump状态 
                1、编辑文件/etc/security/limits.conf(vi /etc/security/limits.conf),在文件末尾加入如下两行(存在则修改,不存在则新增):                               
                    * soft core 0                                                                                                     
                    * hard core 0                                                                                                     
                2、编辑文件/etc/profile(vi /etc/profile)注释掉如下行:                                                                
                    #ulimit -S -c 0 > /dev/null 2>&1  
三、修改SSH的Banner信息
   1、修改文件/etc/motd的内容,如没有该文件,则创建它:                                                                                                                    
       #touch /etc/motd                                                                       
   2、使用如下命令在文件/etc/motd中添加banner信息。                                           
       #echo " Authorized users only. All activity may be monitored and reported " > /etc/motd
       可根据实际需要修改该文件的内容。
四、禁止组合键关机
编辑文件/etc/inittab,将以下行删除、注释,或者将此行:
    ca::ctrlaltdel:/sbin/shutdown -r -t 4 now                                                              
修改为:                                            
    ca::ctrlaltdel:/bin/true 
五、禁止ICMP重定向 
1、备份文件                                                                                      
    #cp -p /etc/sysctl.conf /etc/sysctl.conf_bak                           
2、编辑文件 /etc/sysctl.conf,将net.ipv4.conf.all.accept_redirects的值改为0
3、使配置生效#sysctl  -p 
六、使用PAM认证模块禁止wheel组之外的用户su为root
1、编辑文件(vi /etc/pam.d/su)                                                                                             
    (1)、redhat4.x(32位)在文件开头加入如下两行(有则修改,没有则添加):                                                                                                      
        auth       sufficient   /lib/security/$ISA/pam_rootok.so                                                          
        auth       required    /lib/security/$ISA/pam_wheel.so use_uid                                                    
        #注意auth与sufficient之间由两个tab建隔开,sufficient与动态库路径之间使用一个tab建隔开                              
    (2)、redhat4.x(64位)在文件开头加入如下两行(有则修改,没有则添加):                                                    
        auth       sufficient   /lib64/security/$ISA/pam_rootok.so                                                        
        auth       required    /lib64/security/$ISA/pam_wheel.so use_uid                                                  
        #注意auth与sufficient之间由两个tab建隔开,sufficient与动态库路径之间使用一个tab建隔开                              
    (3)、redhat5.x和redhat6.x在文件开头加入如下两行(有则修改,没有则添加):                                               
        auth            sufficient      pam_rootok.so                                                                     
        auth            required        pam_wheel.so use_uid                                                              
        #注意auth与sufficient之间由两个tab建隔开,sufficient与动态库路径之间使用一个tab建隔开                             
说明:(这表明只有wheel组中的用户可以使用su命令成为root用户。你可以把用户添加到wheel组,以使它可以使用su命令成为root用户。)
添加方法:                                                                                                                 
    #usermod -G wheel username            #username为需要添加至wheel组的账户名称。
七、禁止IP源路由 
1、如果此项检查失败,请执行以下命令进行修复:                                                      
    for f in /proc/sys/net/ipv4/conf/*/accept_source_route
    do                                                     
       echo 0 > $f                                         
    done    
八、更改主机解析地址的顺序
1、编辑/etc/host.conf文件
    #vi /etc/host.conf,在空白处加入下面三行:
    order hosts,bind       #第一项设置首先通过DNS解析IP地址,然后通过hosts文件解析。
    multi on                  #第二项设置检测是否"/etc/hosts"文件中的主机是否拥有多个IP地址(比如有多个以太口网卡)。
    nospoof on             #第三项设置说明要注意对本机未经许可的IP欺骗。
九、更改历史命令
1、编辑文件/etc/profile,在文件中加入如下两行(存在则修改):                                               
    HISTFILESIZE=5                                         
    HISTSIZE=5                                             
2、执行以下命令让配置生效                                  
    #source /etc/profile                                   

以上是“linux安全策略如何加固”这篇文章的所有内容,感谢各位的阅读!相信大家都有了一定的了解,希望分享的内容对大家有所帮助,如果还想学习更多知识,欢迎关注创新互联行业资讯频道!


分享文章:linux安全策略如何加固
文章来源:http://shouzuofang.com/article/iehhio.html

其他资讯