linux系統(tǒng)安全加固方案_第1頁
linux系統(tǒng)安全加固方案_第2頁
linux系統(tǒng)安全加固方案_第3頁
linux系統(tǒng)安全加固方案_第4頁
linux系統(tǒng)安全加固方案_第5頁
已閱讀5頁,還剩5頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、1 概述 -. .1. -1.1 適用范圍 -. .1. -2 用戶賬戶安全加固 -. .1. -2.1 修改用戶密碼策略 -. .1 -2.2鎖定或刪除系統(tǒng)中與服務(wù)運(yùn)行,運(yùn)維無關(guān)的的用戶 - 1 -2.3 鎖定或刪除系統(tǒng)中不使用的組 -. .2 -2.4 限制密碼的最小長度 -. .2 -3 用戶登錄安全設(shè)置 -. .3. -3.1 禁止 root 用戶遠(yuǎn)程登錄 -. .3 -3.2 設(shè)置遠(yuǎn)程 ssh登錄超時(shí)時(shí)間 -. .4 -3.3設(shè)置當(dāng)用戶連續(xù)登錄失敗三次,鎖定用戶 30分鐘 -. 5 -3.4 設(shè)置用戶不能使用最近五次使用過的密碼 -. 5 -3.5 設(shè)置登陸系統(tǒng)賬戶超時(shí)自動(dòng)退出登陸

2、-. 6 -4 系統(tǒng)安全加固 -. .6. -4.1關(guān)閉系統(tǒng)中與系統(tǒng)正常運(yùn)行、業(yè)務(wù)無關(guān)的服務(wù) -. 6 -4.2 禁用“ CTRL+ALT+DE”L重啟系統(tǒng) -. .7 -4.3 加密 grub 菜單 -. .7. -1 概述1.1 適用范圍linux本方案適用于銀視通信息科技有限公司 linux 主機(jī)安全加固, 供運(yùn)維人員參考對(duì) 主機(jī)進(jìn)行安全加固。2 用戶賬戶安全加固2.1 修改用戶密碼策略( 1)修改前備份配置文件: /etc/login.defscp /etc/login.defs /etc/login.defs.bak(2)修改編輯配置文件: vi /etc/login.defs ,修

3、改如下配置:PASS_MAX_DAYS 90 (用戶的密碼不過期最多的天數(shù))PASS_MIN_DAYS 0 (密碼修改之間最小的天數(shù))PASS_MIN_LEN 8 (密碼最小長度)PASS_WARN_AGE 7 ( 口令失效前多少天開始通知用戶更改密碼 )(3)回退操作# cp /etc/login.defs.bak /etc/login.defs2.2 鎖定或刪除系統(tǒng)中與服務(wù)運(yùn)行,運(yùn)維無關(guān)的的用戶(1)查看系統(tǒng)中的用戶并確定無用的用戶# more /etc/passwd2)鎖定不使用的賬戶(鎖定或刪除用戶根據(jù)自己的需求操作一項(xiàng)即可)鎖定不使用的賬戶:# usermod -L username

4、或刪除不使用的賬戶:# userdel -f username(3)回退操作用戶鎖定后當(dāng)使用時(shí)可解除鎖定,解除鎖定命令為:# usermod -U username2.3 鎖定或刪除系統(tǒng)中不使用的組( 1)操作前備份組配置文件 /etc/group# cp /etc/group /etc/group.bak(2)查看系統(tǒng)中的組并確定不使用的組# cat /etc/group(3)刪除或鎖定不使用的組鎖定不使用的組:修改組配置文件 /etc/group ,在不使用的組前加“ #”注釋掉該組即可刪除不使用的組:# groupdel groupname4)回退操作# cp /etc/group.ba

5、k /etc/group2.4 限制密碼的最小長度1)操作前備份組配置文件 /etc/pam.d/system-auth# cp /etc/pam.d /etc/pam.d.bak2)設(shè)置密碼的最小長度為 8修 改 配 置 文 件 /etc/pam.d,在 行 ”passwordrequisitepam pwquality.sotry first passlocal users onlyretry=3authtok_type= ”中添加“ minlen=8 ”,或使用 sed 修改:# sed -i s#password requisite pam_pwquality.so try_first

6、_pass local_users_only retry=3 authtok_type=#password requisite pam_pwquality.so try_first_pass local_users_only retry=3 minlen=8 authtok_type=#g /etc/pam.d/system-auth3)回退操作# cp /etc/pam.d.bak /etc/pam.d3 用戶登錄安全設(shè)置3.1禁止 root 用戶遠(yuǎn)程登錄( 1)修改前備份 ssh 配置文件 /etc/ssh/sshd_conf# cp /etc/ssh/sshd_conf /etc/ssh

7、/sshd_conf.bak( 2)修改 ssh 服務(wù)配置文件不允許 root 用戶遠(yuǎn)程登錄編輯 /etc/ssh/sshd_config 找到“ #PermitRootLogin yes”去掉注釋并修改為“ PermitRootLogin no”或者使用 sed 修改,修改命令為:# sed -i s#PermitRootLogin yesPermitRootLogin nog/etc/ssh/sshd_config( 3)修改完成后重啟 ssh 服務(wù)Centos6.x為:# service sshd restartCentos7.x為:# systemctl restart sshd.se

8、rvice4)回退操作# cp /etc/ssh/sshd_config.bak /etc/ssh/sshd_config3.2 設(shè)置遠(yuǎn)程 ssh登錄超時(shí)時(shí)間( 1)修改前備份 ssh 服務(wù)配置文件 /etc/ssh/sshd_config# cp /etc/ssh/sshd_conf /etc/ssh/sshd_conf.bak(2)設(shè)置遠(yuǎn)程 ssh 登錄長時(shí)間不操作退出登錄編輯 /etc/ssh/sshd_conf 將 ”#ClientAliveInterval 0”修改 為 ”ClientAliveInterval 180”,將 ” #ClientAliveCountMax 3去掉注”釋

9、,或執(zhí)行如下命令:# sed -i s#ClientAliveInterval 0ClientAliveInterval 180g /etc/ssh/sshd_config# sed -i s#ClientAliveCountMax 3ClientAliveCountMax 3g /etc/ssh/sshd_config3)配置完成后保存并重啟 ssh 服務(wù)Centos6.x為:# service sshd restartCentos7.x為:# systemctl restart sshd.service4)回退操作# cp /etc/ssh/sshd_config.bak /etc/ssh

10、/sshd_config3.3 設(shè)置當(dāng)用戶連續(xù)登錄失敗三次,鎖定用戶 30 分鐘( 1)配置前備份配置文件 /etc/pam.d/sshd# cp /etc/pam.d/sshd /etc/pam.d/sshd.bak(2)設(shè)置當(dāng)用戶連續(xù)輸入密碼三次時(shí),鎖定該用戶30 分鐘修改配置文件 /etc/pam.d/sshd, 在配置文件的第二行添加內(nèi)容 auth required pam_tally2.so deny=3 unlock_time=300 (3)若修改配置文件出現(xiàn)錯(cuò)誤,回退即可,回退操作:# cp /etc/pam.d/sshd.bak /etc/pam.d/sshd3.4 設(shè)置用戶不

11、能使用最近五次使用過的密碼( 1)配置前備份配置文件 /etc/pam.d/sshd# cp /etc/pam.d/system-auth /etc/pam.d/system-auth.bak(2)配置用戶不能使用最近五次使用的密碼修 改 配 置 文 件 /etc/pam.d/sshd, 找 到 行 ” passwordsufficientpam_unix.so sha512 shadow nullok try_first_pass use_authtok ,”在最 后加入 remember=10,或使用 sed 修改# sed -i s#password sufficient pam_uni

12、x.so sha512 shadow nulloktry_first_pass use_authtokpassword sufficient pam_unix.so sha512 shadownullok try_first_pass use_authtok remember=10g /etc/ssh/sshd_config3)回退操作# cp /etc/pam.d/sshd.bak /etc/pam.d/sshd3.5 設(shè)置登陸系統(tǒng)賬戶超時(shí)自動(dòng)退出登陸(1)設(shè)置登錄系統(tǒng)的賬號(hào)長時(shí)間不操作時(shí)自動(dòng)登出修改系統(tǒng)環(huán)境變量配置文件 /etc/profile, 在文件的末尾加入 ”TMOUT=18”0使

13、, 登錄系統(tǒng)的用戶三分鐘不操作系統(tǒng)時(shí)自動(dòng)退出登錄。# echo TMOUT=180 /etc/profile(2)使配置生效執(zhí)行命令:# . /etc/profile# 或 source /etc/profile(3)回退操作刪除在配置文件 ”/etc/profile 中添”加的 ”TMOUT=18”0,執(zhí)行命令 . /etc/profile 使配置生效。4 系統(tǒng)安全加固4.1 關(guān)閉系統(tǒng)中與系統(tǒng)正常運(yùn)行、業(yè)務(wù)無關(guān)的服務(wù)(1)查看系統(tǒng)中的所有服務(wù)及運(yùn)行級(jí)別,并確定哪些服務(wù)是與系統(tǒng)的正常運(yùn)行 及業(yè)務(wù)無關(guān)的服務(wù)。# chkconfig -list(2)關(guān)閉系統(tǒng)中不用的服務(wù)# chkconfig se

14、rvername off(3)回退操作,如果意外關(guān)閉了與系統(tǒng)業(yè)務(wù)運(yùn)行相關(guān)的服務(wù),可將該服務(wù)開啟# chkconfig servername on4.2 禁用“ CTRL+ALT+D”EL重啟系統(tǒng)( 1) rhel6.x 中禁用“ ctrl+alt+del”鍵重啟系統(tǒng)修改 配置 文件 “ /etc/init/control -alt-delete.conf ” ,注 釋掉行“ start on control -alt -delete ”?;蛴?sed 命令修改:# sed -i sstart on control-alt-delete#start on control-alt-deleteg/

15、etc/init/control-alt-delete.conf2) rhel7.x 中禁用“ ctrl+alt+del”鍵重啟系統(tǒng)修改配置文件 “/usr/lib/systemd/system/ctrl -alt-del.target”,注釋掉所有內(nèi)容。3) 使修改的配置生效# init q4.3 加密 grub 菜單1、加密 Redhat6.x grub 菜單( 1)備份配置文件 /boot/grub/grub.conf# cp /boot/grub/grub.conf /boot/grub/grub.conf.bak(2)將密碼生成秘鑰# grub-md5-cryptPassword:Retype password:$1$nCPeR/$mUKEeqnBp8G.P.Hrrreus.( 3)為 grub 加密修改配置文件 /boot/grub/grub.conf, 在 ”timeout=5行”下加入 ”password- -md5 $1$CgxdR/$9ipaqi8aVriEpF0nvfd8x.,”$”1$CgxdR/$9ipaqi8aVriEpF0nvfd8為x.加密”后 的密碼。4)回退# cp /boot/grub/grub.conf /boot/grub/grub.conf.bak或者刪除加入行 ”password- md5 $1$CgxdR/$9

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論