linux系統(tǒng)安全加固技術(shù)方案_第1頁
linux系統(tǒng)安全加固技術(shù)方案_第2頁
已閱讀5頁,還剩3頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、1概述-1-1.1適用范圍-1-2用戶賬戶安全加固-1-2.1修改用戶密碼策略-1-2.2鎖定或刪除系統(tǒng)中與服務(wù)運(yùn)行,運(yùn)維無關(guān)的的用戶-1-2.3鎖定或刪除系統(tǒng)中不使用的組-2-2.4限制密碼的最小長度-2-3用戶登錄安全設(shè)置-3-3.1禁止root用戶遠(yuǎn)程登錄-3-3.2設(shè)置遠(yuǎn)程ssh登錄超時(shí)時(shí)間-4-3.3設(shè)置當(dāng)用戶連續(xù)登錄失敗三次,鎖定用戶30分鐘-5-3.4設(shè)置用戶不能使用最近五次使用過的密碼-5-3.5設(shè)置登陸系統(tǒng)賬戶超時(shí)自動(dòng)退出登陸-6-4系統(tǒng)安全加固-6-4.1關(guān)閉系統(tǒng)中與系統(tǒng)正常運(yùn)行、業(yè)務(wù)無關(guān)的服務(wù)-6-4.2禁用“CTRL+ALT+DEL”重啟系統(tǒng)-7-4.3加密grub菜單

2、-7-1概述1.1適用范圍本方案適用于銀視通信息科技有限公司linux主機(jī)安全加固,供運(yùn)維人員參考對(duì)linux主機(jī)進(jìn)行安全加固。2用戶賬戶安全加固2.1修改用戶密碼策略(1)修改前備份配置文件:/etc/login.defscp/etc/login.defs/etc/login.defs.bak(2)修改編輯配置文件:vi/etc/login.defs,修改如下配置:PASS_MAX_DAYS90(用戶的密碼不過期最多的天數(shù))PASS_MIN_DAYS0(密碼修改之間最小的天數(shù))PASS_MIN_LEN8(密碼最小長度)PASS_WARN_AGE7(口令失效前多少天開始通知用戶更改密碼)(3)

3、回退操作cp/etc/login.defs.bak/etc/login.defs2.2鎖定或刪除系統(tǒng)中與服務(wù)運(yùn)行,運(yùn)維無關(guān)的的用戶(1)查看系統(tǒng)中的用戶并確定無用的用戶|#more/etc/passwd|(2)鎖定不使用的賬戶(鎖定或刪除用戶根據(jù)自己的需求操作一項(xiàng)即可)鎖定不使用的賬戶:#usermod-Lusername或刪除不使用的賬戶:userdel-fusername(3)回退操作用戶鎖定后當(dāng)使用時(shí)可解除鎖定,解除鎖定命令為usermod-Uusername2.3鎖定或刪除系統(tǒng)中不使用的組(1)操作前備份組配置文件/etc/groupcp/etc/group/etc/group.bak

4、2)查看系統(tǒng)中的組并確定不使用的組|#cat/etc/group3)刪除或鎖定不使用的組鎖定不使用的組:修改組配置文件/etc/group,在不使用的組前加“#”注釋掉該組即可刪除不使用的組:groupdelgroupname4)回退操作cp/etc/group.bak/etc/group2.4限制密碼的最小長度(1) 操作前備份組配置文件/etc/pam.d/system-authcp/etc/pam.d/etc/pam.d.bak(2) 設(shè)置密碼的最小長度為8修改配置文件/etc/pam.d,在行"passwordrequisitepam_pwquality.sotry_firs

5、t_passlocal_users_onlyretry=3authtok_type二"中添加“minlen=8",或使用sed修改:sed-i"s#passwordrequisitepam_pwquality.sotry_first_passlocal_users_onlyretry=3authtok_type=#passwordrequisitepam_pwquality.sotry_first_passlocal_users_onlyretry=3minlen=8authtok_type=#g"/etc/pam.d/system-auth(3) 回退

6、操作#cp/etc/pam.d.bak/etc/pam.d3用戶登錄安全設(shè)置3.1禁止root用戶遠(yuǎn)程登錄(1) 修改前備份ssh配置文件/etc/ssh/sshd_conf#cp/etc/ssh/sshd_conf/etc/ssh/sshd_conf.bak(2) 修改ssh服務(wù)配置文件不允許root用戶遠(yuǎn)程登錄編輯/etc/ssh/sshd_config找到“#PermitRootLoginyes"去掉注釋并修改為“PermitRootLoginno"或者使用sed修改,修改命令為:#sed-i"s#PermitRootLoginyesPermitRootLo

7、ginnog"/etc/ssh/sshd_config(3)修改完成后重啟ssh服務(wù)Centos6.x為:servicesshdrestartCentos7.x為:systemctlrestartsshd.service(4)回退操作cp/etc/ssh/sshd_config.bak/etc/ssh/sshd_config3.2設(shè)置遠(yuǎn)程ssh登錄超時(shí)時(shí)間(1)修改前備份ssh服務(wù)配置文件/etc/ssh/sshd_configcp/etc/ssh/sshd_conf/etc/ssh/sshd_conf.bak(2)設(shè)置遠(yuǎn)程ssh登錄長時(shí)間不操作退出登錄編輯/etc/ssh/sshd

8、_conf將”#ClientAlivelnterval0”修改為”ClientAlivelnterval180”,將”#ClientAliveCountMax3”去掉注釋,或執(zhí)行如下命令:#sed-i"s#ClientAlivelnterval0ClientAlivelnterval180g"/etc/ssh/sshd_config#sed-i"s#ClientAliveCountMax3ClientAliveCountMax3g"/etc/ssh/sshd_config(3) 配置完成后保存并重啟ssh服務(wù)Centos6.x為:servicesshdr

9、estartCentos7.x為:systemctlrestartsshd.service4)回退操作cp/etc/ssh/sshd_config.bak/etc/ssh/sshd_config3.3設(shè)置當(dāng)用戶連續(xù)登錄失敗三次,鎖定用戶30分鐘(1) 配置前備份配置文件/etc/pam.d/sshdcp/etc/pam.d/sshd/etc/pam.d/sshd.bak(2) 設(shè)置當(dāng)用戶連續(xù)輸入密碼三次時(shí),鎖定該用戶30分鐘修改配置文件/etc/pam.d/sshd,在配置文件的第二行添加內(nèi)容:authrequiredpam_tally2.sodeny=3unlock_time=300(3)若

10、修改配置文件出現(xiàn)錯(cuò)誤,回退即可,回退操作:cp/etc/pam.d/sshd.bak/etc/pam.d/sshd3.4設(shè)置用戶不能使用最近五次使用過的密碼(1) 配置前備份配置文件/etc/pam.d/sshdcp/etc/pam.d/system-auth/etc/pam.d/system-auth.bak(2) 配置用戶不能使用最近五次使用的密碼修改配置文件/etc/pam.d/sshd,找到行”passwordsufficientpam_unix.sosha512shadownulloktry_first_passuse_authtok”,在最后加入remember=10,或使用sed

11、修改sed-i"s#passwordsufficientpam_unix.sosha512shadownulloktry_first_passuse_authtokpasswordsufficientpam_unix.sosha512shadownulloktry_first_passuse_authtokremember=10g"/etc/ssh/sshd_config(3)回退操作cp/etc/pam.d/sshd.bak/etc/pam.d/sshd3.5設(shè)置登陸系統(tǒng)賬戶超時(shí)自動(dòng)退出登陸(1)設(shè)置登錄系統(tǒng)的賬號(hào)長時(shí)間不操作時(shí)自動(dòng)登出修改系統(tǒng)環(huán)境變量配置文件/etc/p

12、rofile,在文件的末尾加入”TMOUT=180”,使登錄系統(tǒng)的用戶三分鐘不操作系統(tǒng)時(shí)自動(dòng)退出登錄。#echoTMOUT=180>>/etc/profile(2)使配置生效執(zhí)行命令:./etc/profile#或source/etc/profile(3)回退操作刪除在配置文件”/etc/profile”中添加的”TMOUT=180”,執(zhí)行命令./etc/profile使配置生效。4系統(tǒng)安全加4.1關(guān)閉系統(tǒng)中與系統(tǒng)正常運(yùn)行、業(yè)務(wù)無關(guān)的服務(wù)(1)查看系統(tǒng)中的所有服務(wù)及運(yùn)行級(jí)別,并確定哪些服務(wù)是與系統(tǒng)的正常運(yùn)行及業(yè)務(wù)無關(guān)的服務(wù)。|#chkconfig-list|(2)關(guān)閉系統(tǒng)中不用的服

13、務(wù)chkconfigservernameoff(3)回退操作,如果意外關(guān)閉了與系統(tǒng)業(yè)務(wù)運(yùn)行相關(guān)的服務(wù),可將該服務(wù)開啟chkconfigservernameon-1-/94.2禁用“CTRL+ALT+DEL”重啟系統(tǒng)(1) rhel6.x中禁用“ctrl+alt+del”鍵重啟系統(tǒng)修改配置文件“/etc/init/control-alt-delete.conf”,注釋掉行“startoncontrol-alt-delete”。或用sed命令修改:sed-i"sstartoncontrol-alt-delete#startoncontrol-alt-deleteg"/etc/i

14、nit/control-alt-delete.conf(2) rhel7.x中禁用“ctrl+alt+del”鍵重啟系統(tǒng)修改配置文件"/usr/lib/systemd/system/ctrl-alt-del.target”,注釋掉所有內(nèi)容。(3)使修改的配置生效4.3加密grub菜單1、加密Redhat6.xgrub菜單(1)備份配置文件/boot/grub/grub.confcp/boot/grub/grub.conf/boot/grub/grub.conf.bak(2)將密碼生成秘鑰grub-md5-cryptPassword:Retypepassword:$1$nCPeR/$mUKEeqnBp8G.P.Hrrreus.(3) 為grub加密修改配置文件/boot/grub/grub.conf,在”timeout=5”行下加入"password-md5$1$CgxdR/$9ipaqi8aVriEpF0nvfd8x”,”$1$CgxdR/$9ipaqi8aVriEpF0nvfd8x"為加密后的密碼。4)回退cp/boot/grub/grub.conf/boot/grub/grub.conf.bak或者刪除加入行”password-md5$1$CgxdR/$9ipaqi8aVriEpF0nvfd8x”2、加密

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論