linux系统安全加固方案.docx
《linux系统安全加固方案.docx》由会员分享,可在线阅读,更多相关《linux系统安全加固方案.docx(7页珍藏版)》请在冰点文库上搜索。
linux系统安全加固方案
1概述
1.1适用围
本方案适用于银视通信息科技XXlinux主机平安加固,供运维人员参考对linux主机进展平安加固。
2用户账户平安加固
2.1修改用户密码策略
〔1〕修改前备份配置文件:
/etc/login.defs
cp/etc/login.defs/etc/login.defs.bak
〔2〕修改编辑配置文件:
vi/etc/login.defs,修改如下配置:
PASS_MAX_DAYS90〔用户的密码不过期最多的天数〕
PASS_MIN_DAYS0〔密码修改之间最小的天数〕
PASS_MIN_LEN8〔密码最小长度〕
PASS_WARN_AGE7(口令失效前多少天开场通知用户更改密码)
〔3〕回退操作
~]*cp/etc/login.defs.bak/etc/login.defs
2.2锁定或删除系统中与效劳运行,运维无关的的用户
〔1〕查看系统中的用户并确定无用的用户
~]*more/etc/passwd
〔2〕锁定不使用的账户〔锁定或删除用户根据自己的需求操作一项即可〕
锁定不使用的账户:
~]*usermod-Lusername
或删除不使用的账户:
~]*userdel-fusername
〔3〕回退操作
用户锁定后当使用时可解除锁定,解除锁定命令为:
~]*usermod-Uusername
2.3锁定或删除系统中不使用的组
〔1〕操作前备份组配置文件/etc/group
~]*cp/etc/group/etc/group.bak
〔2〕查看系统中的组并确定不使用的组
~]*cat/etc/group
(3)删除或锁定不使用的组
锁定不使用的组:
修改组配置文件/etc/group,在不使用的组前加“*〞注释掉该组即可
删除不使用的组:
~]*groupdelgroupname
〔4〕回退操作
~]*cp/etc/group.bak/etc/group
2.4限制密码的最小长度
(1)操作前备份组配置文件/etc/pam.d/system-auth
~]*cp/etc/pam.d/etc/pam.d.bak
(2)设置密码的最小长度为8
修改配置文件/etc/pam.d,在行〞passwordrequisitepam_pwquality.sotry_first_passlocal_users_onlyretry=3authtok_type=〞中添加“minlen=8〞,或使用sed修改:
~]*sed-i"s*passwordrequisitepam_pwquality.sotry_first_passlocal_users_onlyretry=3authtok_type=*passwordrequisitepam_pwquality.sotry_first_passlocal_users_onlyretry=3minlen=8authtok_type=*g"/etc/pam.d/system-auth
(3)回退操作
~]*cp/etc/pam.d.bak/etc/pam.d
3用户登录平安设置
3.1制止root用户远程登录
〔1〕修改前备份ssh配置文件/etc/ssh/sshd_conf
~]*cp/etc/ssh/sshd_conf/etc/ssh/sshd_conf.bak
〔2〕修改ssh效劳配置文件不允许root用户远程登录
编辑/etc/ssh/sshd_config找到“*PermitRootLoginyes〞去掉注释并修改为“PermitRootLoginno〞或者使用sed修改,修改命令为:
~]*sed-i"s*PermitRootLoginyesPermitRootLoginnog"/etc/ssh/sshd_config
〔3〕修改完成后重启ssh效劳
Centos6.x为:
~]*servicesshdrestart
Centos7.x为:
~]*systemctlrestartsshd.service
〔4〕回退操作
~]*cp/etc/ssh/sshd_config.bak/etc/ssh/sshd_config
3.2设置远程ssh登录超时时间
〔1〕修改前备份ssh效劳配置文件/etc/ssh/sshd_config
~]*cp/etc/ssh/sshd_conf/etc/ssh/sshd_conf.bak
〔2〕设置远程ssh登录长时间不操作退出登录
编辑/etc/ssh/sshd_conf将〞*ClientAliveInterval0〞修改为〞ClientAliveInterval〞,将〞*ClientAliveCountMax3〞去掉注释,或执行如下命令:
~]*sed-i"s*ClientAliveInterval0ClientAliveIntervalg"/etc/ssh/sshd_config
~]*sed-i"s*ClientAliveCountMax3ClientAliveCountMax3g"/etc/ssh/sshd_config
〔3〕配置完成后保存并重启ssh效劳
Centos6.x为:
~]*servicesshdrestart
Centos7.x为:
~]*systemctlrestartsshd.service
〔4〕回退操作
~]*cp/etc/ssh/sshd_config.bak/etc/ssh/sshd_config
3.3设置当用户连续登录失败三次,锁定用户30分钟
〔1〕配置前备份配置文件/etc/pam.d/sshd
~]*cp/etc/pam.d/sshd/etc/pam.d/sshd.bak
〔2〕设置当用户连续输入密码三次时,锁定该用户30分钟
修改配置文件/etc/pam.d/sshd,在配置文件的第二行添加容:
authrequiredpam_tally2.sodeny=3unlock_time=300
〔3〕假设修改配置文件出现错误,回退即可,回退操作:
~]*cp/etc/pam.d/sshd.bak/etc/pam.d/sshd
3.4设置用户不能使用最近五次使用过的密码
〔1〕配置前备份配置文件/etc/pam.d/sshd
~]*cp/etc/pam.d/system-auth/etc/pam.d/system-auth.bak
〔2〕配置用户不能使用最近五次使用的密码
修改配置文件/etc/pam.d/sshd,找到行〞passwordsufficientpam_unix.sosha512shadownulloktry_first_passuse_authtok〞,在最后参加remember=10,或使用sed修改
~]*sed-i"s*passwordsufficientpam_unix.sosha512shadownulloktry_first_passuse_authtokpasswordsufficientpam_unix.sosha512shadownulloktry_first_passuse_authtokremember=10g"/etc/ssh/sshd_config
〔3〕回退操作
~]*cp/etc/pam.d/sshd.bak/etc/pam.d/sshd
3.5设置登陆系统账户超时自动退出登陆
〔1〕设置登录系统的账号长时间不操作时自动登出
修改系统环境变量配置文件/etc/profile,在文件的末尾参加〞TMOUT=〞,使登录系统的用户三分钟不操作系统时自动退出登录。
~]*echoTMOUT=>>/etc/profile
〔2〕使配置生效
执行命令:
~]*./etc/profile*或source/etc/profile
〔3〕回退操作
删除在配置文件〞/etc/profile〞中添加的〞TMOUT=〞,执行命令./etc/profile使配置生效。
4系统平安加固
4.1关闭系统中与系统正常运行、业务无关的效劳
〔1〕查看系统中的所有效劳及运行级别,并确定哪些效劳是与系统的正常运行及业务无关的效劳。
~]*chkconfig--list
〔2〕关闭系统中不用的效劳
~]*chkconfigservernameoff
〔3〕回退操作,如果意外关闭了与系统业务运行相关的效劳,可将该效劳开启
~]*chkconfigservernameon
4.2禁用“CTRL+ALT+DEL〞重启系统
〔1〕rhel6.x中禁用“ctrl+alt+del〞键重启系统
修改配置文件“/etc/init/control-alt-delete.conf〞,注释掉行“startoncontrol-alt-delete 〞。
或用sed命令修改:
~]*sed-i"sstartoncontrol-alt-delete*startoncontrol-alt-deleteg"/etc/init/control-alt-delete.conf
〔2〕rhel7.x中禁用“ctrl+alt+del〞键重启系统
修改配置文件“/usr/lib/systemd/system/ctrl-alt-del.target〞,注释掉所有容。
〔3〕使修改的配置生效
~]*initq
4.3加密grub菜单
1、加密Redhat6.xgrub菜单
(1)备份配置文件/boot/grub/grub.conf
~]*cp/boot/grub/grub.conf/boot/grub/grub.conf.bak
(2)将密码生成秘钥
~]*grub-md5-crypt
Password:
Retypepassword:
$1$nCPeR/$mUKEeqnBp8G.P.Hrrreus.
(3)为grub加密
修改配置文件/boot/grub/grub.conf,在〞timeout=5〞行下参加〞password--md5$1$CgxdR/$9ipaqi8aVriEpF0nvfd8x.〞,〞$1$CgxdR/$9ipaqi8aVriEpF0nvfd8x.〞为加密后的密码。
(4)回退
~]*cp/boot/grub/grub.conf/boot/grub/grub.conf.bak
或者删除参加行〞password--md5$1$CgxdR/$9ipaqi8aVriEpF0nvfd8x.〞
2、加密redhat7.xgrub菜单
〔1〕在〞/etc/grub.d/00_header〞文件末尾,添加以下容
cat<passwordadminqwe123
E0F
〔2〕重新编译生成grub.cfg文件
~]*grub2-mkconfig-o/boot/grub2/grub.cfg
(3)回退操作
删除/etc/grub.d/00_header中添加的容,并重新编译生成grub.cfg文件