Linux系統(tǒng)主機安全加固

Linux機安全加固V1.0有限公零一年月一、修改密碼略1、cp/etc/login.defs/etc/2、vi/etc/login.defsPASS_MAX_DAYS90（

用戶的密碼不過期最多的數(shù)）文件號：當(dāng)前本：保管密級完成期：PASS_MIN_DAYS0（

DOC-2016秘密HK有限司)2016-06密碼修改之間最小的天數(shù)）PASS_MIN_LEN8（密碼小長）口令效前少開始知用更改碼)按要修改幾個碼選，修完之保存（：wq!）退出可。二、查看系統(tǒng)否已設(shè)定了正確MASK值（022）1、用命mask看u值是是0，如果是用面命進行改：cp

/etc/profile/etc/profilevi/etc/profile

.bak找到umask022修改這數(shù)值可三、鎖定系統(tǒng)不必要的系統(tǒng)用和組1、cp/etc/passwd/etc/passwd.bakcp/etc/shadow/etc/shadow.bak鎖定列用2、foriinadmlpsyncnewsuucpgamesftprpcrpcusernfsnobodymailnullgdmdousermod-L$idone3、檢查否定成more/etc/shadow如lp:!*:15980:0:99999:7:::lp帳戶后面！號為鎖定4、禁用關(guān)組：備份cp/etc/group/etc/group.bak

5、編：vi/etc/group在組面加進行注參下面#lp:x:7:daemon,lp#uucp:x:14:uucp#games:x:20:#ftp:x:50:#rpc:x:32:#rpcuser:x:29:#nfsnobody:x:65534:#mailnull:x:47:#gdm:x:42:6、禁root用戶遠程錄cp/etc/ssh/sshd_config/etc/ssh/sshd_config.bak文件，其中PermitRootLogin改n，后重啟動sh務(wù)/etc/init.d/sshdrestart四、linux中預(yù)防YNflood1、備cp/etc/sysctl.conf/etc/2、編輯vi/etc/sysctl.conf3、添加=4、保存出5、命令變更效五、ARP捆綁IP1、確認(rèn)關(guān)P和地址正確查看rp-a3.echo'2b8:88:e3:fa:b9:8f'>/etc/ethers捆綁rp-f5、對比例：（請考系運行實情況捆綁root@web1etc]#arp-a(2)atb8:88:e3:fa:b9:8f[ether]onem1捆綁后

(2)atb8:88:e3:fa:b9:8f[ether]onem16、設(shè)置機綁M備份機自動服文件p/etc/rc.d/rc.local/etc/rc.d/編輯i/etc/rc.d/rc.local添加arp六、停止無用務(wù)注意：需要根據(jù)系統(tǒng)的際情況和詢問管員哪些服務(wù)跟業(yè)務(wù)關(guān)方可停用。foriinautofschargenchargen-udpgpmip6tablesisdnkudzuxinetdnfsnfslockpcmciarhnsddochkconfig--level2345$ioffservice$istopdone啟動計服foriinauditdochkconfig--level2345$ionservice$istartdone七、統(tǒng)禁X-Window系1、編：cp/etc/inittab/etc/inittab.bakvi/etc/inittabid:5:initdefault：將數(shù)值為即可八、殘留信息護（使.bash_history值保存3個命令，用戶退出是自動刪除.bash_history文件）1、份

cp/etc/profile/etc/profile.bak2、編輯vi/etc/profileHISTFILESIZE=30（如果有自行加）改保值為0HISTSIZE=30

修改保存值為303、出后動刪用戶的“.bash_history文件

備份：cp/etc/skel/.bash_logout/etc/skel/.bash_logout.bak編輯：vi/etc/skel/.bash_logout在后面添加rmf$HOME/.bash_historymore/etc/sysctl.conf九、查看/tmp和/var/tmp目具有粘滯位1、查看，例如ls-al/|greptmpdrwxrwxrwt7root2、修改c

hmod+t/tmpchmod+t/var/tmp十、加TCP/IP協(xié)棧1、統(tǒng)當(dāng)狀態(tài)more/etc/sysctl.conf檢查etc/sysctl.conf是否存在以下內(nèi)容：=4096=1=0=0=0=1=0=0=02、Vi/etc/sysctl.conf文件添或修下值。=4096=1=0=0=0=1=0=0=0chownroot:root/etc/sysctl.confchmod0600/etc/sysctl.confsysctlp/etc/sysctl.conf注意修改請份/件，果對面參不清的請相資料解。些參應(yīng)依實際務(wù)的要來調(diào)，體請詢商與務(wù)開商。

十一、系統(tǒng)重文件訪問權(quán)限是為6或600一般查etc/passwd/etc/shadow件默認(rèn)置如（可參此：#ls-al/etc/passwd/etc/shadow修方法：chmod644/etc/shadowChmod600/etc/passwd十二、系統(tǒng)是啟用安全審計用命查看hkconfig--list|grepauditd例如：[root@linux~]#chkconfig--list|grepauditdauditd

0:off

1:off

n

ff

n

off

offroot@linux~]#serviceauditdstatusd[root@linux~]#serviceauditdrestartStartingauditd:[][root@linux~]#serviceauditdstatus0:of1:ofauditdff

n

n

n

n

6:off十三、安全審啟用策略，般對統(tǒng)的陸、出、建刪除錄、改密、添組、劃任，加完策后需啟這服務(wù)范例：more/etc/audit/audit.rules#Enableauditing-e1##loginconfigurationandinformation-w/etc/login.defs-pwa-kCFG_login.defs-w/etc/securetty-pwa-kCFG_securetty-w/var/log/faillog-pwa-kLOG_faillog-w/var/log/lastlog-pwa-kLOG_lastlog-w/var/log/tallylog-pwa-kLOG_tallylog##directoryoperations#-aentry,always-Smkdir-Smkdirat-Srmdir##cronconfiguration&scheduledjobs-w/etc/cron.allow-pwa-kCFG_cron.allow-w/etc/cron.deny-pwa-kCFG_cron.deny-w/etc/cron.d/-pwa-kCFG_cron.d

-w/etc/cron.daily/-pwa-kCFG_cron.daily-w/etc/cron.hourly/-pwa-kCFG_cron.hourly-w/etc/cron.monthly/-pwa-kCFG_cron.monthly-w/etc/cron.weekly/-pwa-kCFG_cron.weekly-w/etc/crontab-pwa-kCFG_crontab-w/var/spool/cron/root-kCFG_crontab_root##user,group,passworddatabases-w/etc/group-pwa-kCFG_group-w/etc/passwd-pwa-kCFG_passwd-w/etc/gshadow-kCFG_gshadow-w/etc/shadow-kCFG_shadow-w/etc/security/opasswd-kCFG_opasswd#-----FileSystemauditrules-----#Addawatchon"passwd"withthearbitraryfilterkey"fk_passwd"that#generatesrecordsfor"reads,writes,executes,andappends"on"passw