收藏
下载资源下载资源 加入VIP,免费下载

linux系统安全加固资料下载.pdf

上传人:wj 文档编号:5983549 上传时间:2023-05-05 格式:PDF 页数:32 大小:851.12KB
下载 相关 举报
linux系统安全加固资料下载.pdf_第1页
第1页 / 共32页
linux系统安全加固资料下载.pdf_第2页
第2页 / 共32页
linux系统安全加固资料下载.pdf_第3页
第3页 / 共32页
linux系统安全加固资料下载.pdf_第4页
第4页 / 共32页
linux系统安全加固资料下载.pdf_第5页
第5页 / 共32页
linux系统安全加固资料下载.pdf_第6页
第6页 / 共32页
linux系统安全加固资料下载.pdf_第7页
第7页 / 共32页
linux系统安全加固资料下载.pdf_第8页
第8页 / 共32页
linux系统安全加固资料下载.pdf_第9页
第9页 / 共32页
linux系统安全加固资料下载.pdf_第10页
第10页 / 共32页
linux系统安全加固资料下载.pdf_第11页
第11页 / 共32页
linux系统安全加固资料下载.pdf_第12页
第12页 / 共32页
linux系统安全加固资料下载.pdf_第13页
第13页 / 共32页
linux系统安全加固资料下载.pdf_第14页
第14页 / 共32页
linux系统安全加固资料下载.pdf_第15页
第15页 / 共32页
linux系统安全加固资料下载.pdf_第16页
第16页 / 共32页
linux系统安全加固资料下载.pdf_第17页
第17页 / 共32页
linux系统安全加固资料下载.pdf_第18页
第18页 / 共32页
linux系统安全加固资料下载.pdf_第19页
第19页 / 共32页
linux系统安全加固资料下载.pdf_第20页
第20页 / 共32页
亲,该文档总共32页,到这儿已超出免费预览范围,如果喜欢就下载吧!
下载资源
资源描述

linux系统安全加固资料下载.pdf

《linux系统安全加固资料下载.pdf》由会员分享,可在线阅读,更多相关《linux系统安全加固资料下载.pdf(32页珍藏版)》请在冰点文库上搜索。

linux系统安全加固资料下载.pdf

#more/etc/passwd查看是否存在以下可能无用的帐户:

hpsmh、named、uucp、nuucp、adm、daemon、bin、lp2、与管理员确认需要锁定的帐户操作步骤操作步骤1、执行备份:

#cpp/etc/passwd/etc/passwd_bak2、锁定无用帐户:

#passwd-lusername回退操作回退操作执行:

#cp/etc/passwd_bak/etc/passwd风险说明风险说明锁定某些用户可能导致某些应用无法正常运行11.44删删删删除除除除可可可可能能能能无无无无用用用用的的的的用用用用户户户户组组组组配置项名配置项名称称删除可能无用的用户组检查方法检查方法1、执行:

#more/etc/group查看是否存在以下可能无用的用户组:

lpnuucpnogroup2、与管理员确认需要删除的用户组系统安全加固手册操作步骤操作步骤1、执行备份:

#cpp/etc/group/etc/group_bak2、删除无用的用户组:

#groupdelgroupname回退操作回退操作执行:

#cp/etc/group_bak/etc/group风险说明风险说明删除某些组可能导致某些应用无法正常运行11.55检检检检查查查查是是是是否否否否存存存存在在在在空空空空密密密密码码码码的的的的帐帐帐帐户户户户配置项名配置项名称称检查是否存在空密码的帐户检查方法检查方法执行下列命令,检查是否存在空密码的帐户loginsp应无回结果操作步骤操作步骤1、执行备份:

#cpp/etc/passwd/etc/passwd_bak#cp-p/etc/shadow/etc/shadow_bak2、锁定空密码帐户或使用passwd命令设置复杂密码#passwdlusername回退操作回退操作执行:

#cpp/etc/passwd_bak/etc/passwd#cp-p/etc/shadow_bak/etc/shadow风险说明风险说明锁定某些帐户可能导致某些应用无法正常运行11.66设设设设置置置置口口口口令令令令策策策策略略略略满满满满足足足足复复复复杂杂杂杂度度度度要要要要求求求求配置项名配置项名称称设置口令策略满足复杂度要求检查方法检查方法1、执行下列命令,检查是否存在空密码的帐户#loginsp应无返回结果2、执行:

系统安全加固手册#more/etc/default/security检查是否满足以下各项复杂度参数:

MIN_PASSWORD_LENGTH=6PASSWORD_MIN_UPPER_CASE_CHARS=1PASSWORD_MIN_LOWER_CASE_CHARS=1PASSWORD_MIN_DIGIT_CHARS=1PASSWORD_MIN_SPECIAL_CHARS=1操作步骤操作步骤1、执行备份:

#cpp/etc/default/security/etc/default/security_bak#cpp/etc/passwd/etc/passwd_bak2、执行下列命令,编辑/etc/default/security#vi/etc/default/security修改以下各项复杂度参数:

MIN_PASSWORD_LENGTH=6PASSWORD_MIN_UPPER_CASE_CHARS=1PASSWORD_MIN_LOWER_CASE_CHARS=1PASSWORD_MIN_DIGIT_CHARS=1PASSWORD_MIN_SPECIAL_CHARS=1回退操作回退操作执行:

#cp/etc/default/security_bak/etc/default/security#cp/etc/passwd_bak/etc/passwd风险说明风险说明可能导致非root用户修改自己的密码时多次不成功11.77设设设设置置置置帐帐帐帐户户户户口口口口令令令令生生生生存存存存周周周周期期期期配置项名配置项名称称设置帐户口令生存周期检查方法检查方法执行:

#more/etc/default/security查看是否存在以下各项参数:

PASSWORD_MAXDAYS=90系统安全加固手册PASSWORD_WARNDAYS=28操作步骤操作步骤1、执行备份:

#cpp/etc/default/security/etc/default/security_bak#cpp/etc/passwd/etc/passwd_bak2、执行下列命令,编辑/etc/default/security#vi/etc/default/security修改以下各项参数:

PASSWORD_MAXDAYS=90PASSWORD_WARNDAYS=28回退操作回退操作执行:

#cp/etc/default/security_bak/etc/default/security#cp/etc/passwd_bak/etc/passwd风险说明风险说明可能在密码过期后影响正常使用及维护11.88设设设设定定定定密密密密码码码码历历历历史史史史,不不不不能能能能重重重重复复复复使使使使用用用用最最最最近近近近55次次次次(含含含含55次次次次)内内内内已已已已使使使使用用用用的的的的口口口口令令令令配置项名配置项名称称应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令检查方法检查方法执行:

#more/etc/default/security查看是否存在以下参数:

PASSWORD_HISTORY_DEPTH=5操作步骤操作步骤1、执行备份:

#cpp/etc/default/security/etc/default/security_bak#cpp/etc/passwd/etc/passwd_bak2、执行下列命令,编辑/etc/default/security#vi/etc/default/security修改以下参数:

PASSWORD_HISTORY_DEPTH=5系统安全加固手册回退操作回退操作执行:

#cp/etc/default/security_bak/etc/default/security#cp/etc/passwd_bak/etc/passwd风险说明风险说明低风险11.99限限限限制制制制rroooott用用用用户户户户远远远远程程程程登登登登录录录录配置项名配置项名称称root用户远程登录限制检查方法检查方法执行:

#more/etc/securetty检查是否有下列行:

Console执行:

#more/opt/ssh/etc/sshd_config检查是否有PermitRootLoginno操作步骤操作步骤1、执行备份:

#cpp/etc/securetty/etc/securetty_bak#cp-p/opt/ssh/etc/sshd_config/opt/ssh/etc/sshd_config_bak2、新建一个普通用户并设置高强度密码:

#useraddusername#passwdusername3、禁止root用户远程登录系统:

#vi/etc/securetty去掉console前面的注释,保存退出#vi/opt/ssh/etc/sshd_config将PermitRootLogin后的yes改为no回退操作回退操作执行:

#cp/etc/securetty_bak/etc/securetty#cp-p/opt/ssh/etc/sshd_config_bak/opt/ssh/etc/sshd_config系统安全加固手册风险说明风险说明严重改变维护人员操作习惯,必须新建一个能够执行交互式登录的普通用户并能够通过su提升权限,可能带来新的威胁11.1100检检检检查查查查ppaasssswwdd、ggrroouupp文文文文件件件件权权权权限限限限设设设设置置置置配置项名配置项名称称检查passwd、group文件权限设置检查方法检查方法执行:

#lsl/etc/passwd/etc/group操作步骤操作步骤1、执行备份:

#cpp/etc/passwd/etc/passwd_bak#cpp/etc/group/etc/group_bak2、修改文件权限:

#chmod644/etc/passwd#chmod644/etc/group回回退退执行:

#cp/etc/passwd_bak/etc/passwd#cp/etc/group_bak/etc/group风险说明风险说明权限设置不当可能导致无法执行用户管理,并可能造成某些应用运行异常11.1111删删删删除除除除帐帐帐帐户户户户目目目目录录录录下下下下的的的的.nneettrrcc/.rrhhoossttss/.sshhoossttss文文文文件件件件配置项名配置项名称称删除帐户目录下的.netrc/.rhosts/.shosts文件检查方法检查方法执行下列命令,检查帐户目录下是否存在.netrc/.rhosts/.shosts文件#logins-ox|cut-f6-d:

|grep/home/|whilereaddir;

dols-a$dir;

done操作步骤操作步骤1、执行备份:

使用cp命令备份.netrc/.rhosts/.shosts文件2、删除文件:

使用rm-f命令删除.netrc/.rhosts/.shosts文件系统安全加固手册回退操作回退操作使用cp命令恢复被删除的.netrc/.rhosts/.shosts文件风险说明风险说明可能影响需要使用远程连接的应用11.1122系系系系统统统统uummaasskk设设设设置置置置配置项名配置项名称称系统umask设置检查方法检查方法执行:

#more/etc/profile检查系统umask值操作步骤操作步骤1、执行备份:

#cp-p/etc/profile/etc/profile_bak2、修改umask设置:

#vi/etc/profile将umask值修改为027,保存退出回退操作回退操作执行:

#cp/etc/profile_bak/etc/profile风险说明风险说明umask设置不当可能导致某些应用无法正确自动创建目录或文件,从而运行异常22访访访访问问问问、认认认认证证证证安安安安全全全全配配配配置置置置要要要要求求求求22.11远远远远程程程程登登登登录录录录取取取取消消消消tteellnneett采采采采用用用用sssshh配置项名配置项名称称远程登录取消telnet采用ssh检查方法检查方法查看SSH、telnet服务状态:

#pself|grepssh#pself|greptelnetSSH服务状态查看结果为:

online系统安全加固手册telnet服务状态查看结果为:

disabled操作步骤操作步骤1、备份#cpp/etc/inetd.conf/etc/inetd.conf_bak2、修改/etc/inetd.conf文件,将telnet行注释掉#telnetstreamtcpnowaitroot/usr/lbin/telnetdtelnetd3、安装ssh软件包,通过#/opt/ssh/sbin/sshdstart来启动SSH。

回退操作回退操作执行:

#cpp/etc/inetd.conf_bak/etc/inetd.conf启动telnet#/usr/lbin/telnetdstart停止SSH#/opt/ssh/sbin/sshdstop风险说明风险说明影响维护人员操作习惯,需要重启服务22.22限限限限制制制制系系系系统统统统帐帐帐帐户户户户FFTTPP登登登登录录录录配置项名配置项名称称限制root、daemon、bin、sys、adm、lp、uucp、nuucp、nobody、hpdb、useradm等系统帐户FTP登录检查方法检查方法执行:

#cat/etc/ftpd/ftpusers查看具体的禁止FTP登陆系统的用户名单操作步骤操作步骤1、执行备份:

#cp-p/etc/ftpd/ftpusers/etc/ftpd/ftpusers_bak2、禁止用户FTP登录系统:

#vi/etc/ftpd/ftpusers每一个帐户一行,添加以下帐户禁止FTP登录root、daemon、bin、sys、adm、lp、uucp、nuucp、nobody、hpdb、useradm回退操作回退操作执行:

#cp/etc/ftpd/ftpusers_bak/etc/ftpd/ftpusers风险说明风险说明禁止某些帐户登录FTP可能导致某些应用无法正常运行系统安全加固手册22.33配配配配置置置置允允允允许许许许访访访访问问问问iinneettdd服服服服务务务务的的的的IIPP范范范范围围围围或或或或主主主主机机机机名名名名配置项名配置项名称称配置允许访问inetd服务的IP范围或主机名检查方法检查方法执行:

#cat/var/adm/inetd.sec查看有无类似logindeny192.54.24.5cory.berkeley.edutestlan配置操作步骤操作步骤1、执行备份:

#cp-p/var/adm/inetd.sec/var/adm/inetd.sec_bak2、添加允许访问inetd服务的IP范围或主机名:

#vi/var/adm/inetd.sec按照如下格式添加IP范围或主机名servicenameallow|denyhostaddrs|hostnames|netaddrs|netnames回退操作回退操作执行:

#cp/var/adm/inetd.sec_bak/var/adm/inetd.sec风险说明风险说明需确认IP信任范围,设置不当会导致网络服务通信异常22.44禁禁禁禁止止止止除除除除rroooott外外外外帐帐帐帐户户户户使使使使用用用用aatt/ccrroonn配置项名配置项名称称禁止除root外帐户使用at/cron检查方法检查方法执行:

#cd/var/adm/cron#catcron.allow#catat.allow查看是否存在root;

执行:

#catcron.deny#catat.deny检查是否存在cron.deny和at.deny文件,若存在,应删除。

操作步骤操作步骤1、执行备份#cd/var/adm/cron系统安全加固手册#cp-pcron.denycron.deny_bak#cp-pat.denyat.deny_bak#cp-pcron.allowcron.allow_bak#cp-pat.allowat.allow_bak2、添加root到cron.allow和at.allow,并删除cron.deny和at.deny。

#cd/var/adm/cron#rm-fcron.denyat.deny#echorootcron.allow#echorootat.allow#chownroot:

syscron.allowat.allow#chmod400cron.allowat.allow回退操作回退操作#cd/var/adm/cron#cp-pcron.deny_bakcron.deny#cp-pat.deny_bakat.deny#cp-pcron.allow_bakcron.allow#cp-pat.allow_bakat.allow风险说明风险说明除root外帐户不能使用at/cron,可能影响某些应用。

22.55设设设设定定定定连连连连续续续续认认认认证证证证失失失失败败败败次次次次数数数数超超超超过过过过66次次次次(不不不不含含含含66次次次次)锁锁锁锁定定定定该该该该账账账账号号号号配置项名配置项名称称配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。

检查方法检查方法执行:

#cat/etc/default/security检查是否存在AUTH_MAXTRIES=6操作步骤操作步骤1、执行备份#cp-p/etc/default/security/etc/default/security_bak2、执行下列命令,设置最大登录认证重试次数锁定帐户为6次echoAUTH_MAXTRIES=6/etc/default/security回退操作回退操作#cp-p/etc/default/security_bak/etc/default/security风险说明风险说明root账号也在锁定的限制范围内,一旦root被锁定,就需要光盘引导,因此该配置要慎用。

系统安全加固手册33文文文文件件件件系系系系统统统统安安安安全全全全配配配配置置置置要要要要求求求求33.11重重重重要要要要目目目目录录录录和和和和文文文文件件件件的的的的权权权权限限限限设设设设置置置置配置项名配置项名称称重要目录和文件的权限设置检查方法检查方法执行以下命令检查目录和文件的权限设置情况:

#lsl/etc/#lsl/tmp/#lsl/etc/default/#ls-l/etc/rc.config.d/操作步骤操作步骤1、执行备份:

使用cp命令备份需要修改权限的文件或目录2、权限修改:

使用chmod命令修改文件或目录权限回退操作回退操作使用cp命令恢复被修改权限的文件或目录或使用chmod命令恢复权限风险说明风险说明修改某些重要的配置文件的权限可能导致系统功能或应用异常33.22检检检检查查查查没没没没有有有有所所所所有有有有者者者者的的的的文文文文件件件件或或或或目目目目录录录录配置项名配置项名称称检查没有所有者的文件或目录检查方法检查方法执行:

#find/(-nouser-o-nogroup)-execls-al;

咨询管理员找到的文件或目录是否应用所需操作步骤操作步骤1、执行备份:

使用cp命令备份没有所有者的文件或目录2、使用chmod命令添加属主或删除没有所有者的文件或目录:

#rmrffilename回退操作回退操作使用cp命令恢复被删除的没有所有者的文件或目录系统安全加固手册风险说明风险说明执行检查会大量消耗系统资源,需要确认无所有者的文件的具体用途44网网网网络络络络服服服服务务务务安安安安全全全全配配配配置置置置要要要要求求求求44.11禁禁禁禁止止止止NNIISS/NNIISS+服服服服务务务务以以以以守守守守护护护护方方方方式式式式运运运运行行行行配置项名配置项名称称禁止NIS/NIS+服务以守护方式运行NetworkInformationSystem检查方法检查方法执行:

#more/etc/rc.config.d/namesvrs查看该文件中是否存在以下参数:

NIS_MASTER_SERVER=0NIS_SLAVE_SERVER=0NIS_CLIENT=0NISPLUS_SERVER=0NISPLUS_CLIENT=0操作步骤操作步骤1、执行备份:

#cp-p/etc/rc.config.d/namesvrs/etc/rc.config.d/namesvrs_bak2、编辑/etc/rc.config.d/namesvrs文件,设置参数:

#ch_rc-a-pNIS_MASTER_SERVER=0-pNIS_SLAVE_SERVER=0-pNIS_CLIENT=0-pNISPLUS_SERVER=0-pNISPLUS_CLIENT=0/etc/rc.config.d/namesvrs回退操作回退操作#cp-p/etc/rc.config.d/namesvrs_bak/etc/rc.config.d/namesvrs风险说明风险说明NIS/NIS+服务无法自动启动44.22禁禁禁禁用用用用打打打打印印印印服服服服务务务务以以以以守守守守护护护护方方方方式式式式运运运运行行行行配置项名配置项名称称禁止打印服务以守护方式运行检查方法检查方法执行:

#more/etc/rc.config.d/tps系统安全加固手册查看该文件中是否存在XPRINTSERVERS=#more/etc/rc.config.d/lp查看该文件中是否存在LP=0#more/etc/rc.config.d/pd查看该文件中是否存在PD_CLIENT=0操作步骤操作步骤1、执行备份:

#cp-p/etc/rc.config.d/tps/etc/rc.config.d/tps_bak#cp-p/etc/rc.config.d/lp/etc/rc.config.d/lp_bak#cp-p/etc/rc.config.d/pd/etc/rc.config.d/pd_bak2、设置参数:

#ch_rc-a-pXPRINTSERVERS=/etc/rc.config.d/tps

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > PPT模板 > 商务科技

copyright@ 2008-2023 冰点文库 网站版权所有

经营许可证编号:鄂ICP备19020893号-2