linux安全策略如何加固

70次阅读
没有评论

共计 10251 个字符,预计需要花费 26 分钟才能阅读完成。

这篇文章主要为大家展示了“linux 安全策略如何加固”,内容简而易懂,条理清晰,希望能够帮助大家解决疑惑,下面让丸趣 TV 小编带领大家一起研究并学习一下“linux 安全策略如何加固”这篇文章吧。

账号管理
一、口令锁定策略
1、执行备份    
   (1)、redhat 执行备份:
        #cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak
   (2)、SUSE9:
        #cp -p /etc/pam.d/passwd /etc/pam.d/passwd.bak
   (3)、SUSE10:
        #cp -p /etc/pam.d/common-password /etc/pam.d/common-password.bak
2、修改策略设,编辑文件 /etc/pam.d/system-auth(SUSE:/etc/pam.d/passwd) 增加如下内容:
    auth required pam_tally2.so deny=5 onerr=fail no_magic_root unlock_time=180    #unlock_time 单位为秒
    account  required  pam_tally2.so                                               #(redhat5.1 以上版本支持 pam_tally2.so, 其他版本使用 pam_tally.so)
二、口令生存周期
1、执行备份:
    #cp -p /etc/login.defs /etc/login.defs_bak
2、修改策略设置,编辑文件 /etc/login.defs(vi /etc/login.defs),在文件中加入如下内容(如果存在则修改,不存在则添加):
    PASS_MAX_DAYS 90
    PASS_MIN_DAYS 10
    PASS_WARN_AGE 7
三、密码复杂度
1、redhat 系统
    编辑文件 /etc/pam.d/system-auth,在文件中找到如下内容:
    password requisite  pam_cracklib.so,将其修改为:
    password requisite  pam_cracklib.so try_first_pass retry=3 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=8         #至少包含一个数字、一个小写字母、一个大写字母、一个特殊字符、且密码长度 =8
2、suse9 编辑 /etc/pam.d/passwd、suse10 以上编辑 /etc/pam.d/common-password,在文件中加入如下内容(如果文件中存在 password 的行请首先注释掉):
    password required       pam_pwcheck.so  nullok
    password requisite      pam_cracklib.so dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=8 use_authtok
    password required       pam_unix2.so    nullok use_first_pass use_authtok
四、删除或锁定无关账号
1、如果以下用户(lp|sync|halt|news|uucp|operator|games|gopher|smmsp|nfsnobody|nobody) 没有被删除或锁定,可以使用如下命令对其进行操作:
   (1)、删除用户:
        #userdel username
   (2)、锁定用户:
        #passwd -l username        # 锁定用户,只有具备超级用户权限的使用者方可使用。
        #passwd –d username      # 解锁用户,解锁后原有密码失效, 登录设置新密码才能登录。
        #passwd -u username       #解锁用户后,原密码仍然有效。
   (3)、修改用户 shell 域为 /bin/false
        #usermod -s /bin/false username        # 命令来更改相应用户的 shell 为 /bin/false,其中 [name] 为要修改的具体用户名。
        passwd -l lp
passwd -l sync
passwd -l halt
passwd -l news
passwd -l uucp
passwd -l operator
passwd -l games
passwd -l gopher
passwd -l smmsp
passwd -l nfsnobody
passwd -l nobody

usermod -s /bin/false lp        
usermod -s /bin/false sync      
usermod -s /bin/false halt      
usermod -s /bin/false news      
usermod -s /bin/false uucp      
usermod -s /bin/false operator  
usermod -s /bin/false games    
usermod -s /bin/false gopher    
usermod -s /bin/false smmsp    
usermod -s /bin/false nfsnobody 
usermod -s /bin/false nobody  
五、口令重复限制
1、执行备份
    #cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth.bak
    #cp -p /etc/pam.d/passwd /etc/pam.d/passwd.bak
    #cp -p /etc/pam.d/common-password /etc/pam.d/common-password.bak
2、创建文件 /etc/security/opasswd 用于存储旧密码,并设置权限。
    #touch /etc/security/opasswd
    #chown root:root /etc/security/opasswd
    #chmod 600 /etc/security/opasswd
3、修改策略设置
    #vi /etc/pam.d/system-auth((SUSE9:/etc/pam.d/passwd、SUSE10 以上 /etc/pam.d/common-password) 在类似 password  sufficient pam_unix.so 所在行末尾增加 remember=5,中间以空格隔开. 如果没有则新增,例如:
    password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok remember=5  
=================
口令策略
一、文件与目录缺省权限控制
1、首先对 /etc/profile 进行备份:                 
    #cp /etc/profile /etc/profile.bak            
2、编辑文件 /etc/profile,在文件末尾加上如下内容:
    umask 027                                    
3、执行以下命令让配置生效:                     
    #source  /etc/profile 
二、用户最小权限控制
1、赋予用户相关账号文件最小权限                      
    #chmod 644 /etc/passwd    
    #chmod 400 /etc/shadow    
    #chmod 644 /etc/group      
    #chmod 644 /etc/services  
    #chmod 600 /etc/xinetd.conf
    #chmod 600 /etc/security  
三、修改 SSH 的 Banner 警告信息
1、如果此项检查不合规,执行以下步骤进行修复。                                             
    执行如下命令创建 ssh banner 信息文件:                                                   
    #touch /etc/ssh_banner                                                                  
    #chown bin:bin /etc/ssh_banner                                                          
    #chmod 644 /etc/ssh_banner                                                              
    #echo Authorized only. All activity will be monitored and reported /etc/ssh_banner
    可根据实际需要修改该文件的内容。                                                       
2、修改 /etc/ssh/sshd_config 文件,添加如下行:                                             
    Banner /etc/ssh_banner                                                                  
3、重启 sshd 服务:                                                                            
    #/etc/init.d/sshd restart 
四、设置关键文件的属性      
1、更改该日子文件属性                                                                                          
    #chattr +a /var/log/messages       #如果不存在则忽略  
========================
认证授权
一、启用远程日志功能
1、linux                                                          
    编辑文件 /etc/syslog.conf 或者 /etc/rsyslog.conf,增加如下内容: 
        *.* @ 日志服务器 ip 或者域名                              
2、suse                                                            
    编辑文件 /etc/syslog-ng/syslog-ng.conf,增加如下内容:         
        destination logserver {udp( 192.168.56.168 port(514)); };
        log {source(src); destination(logserver); };              
        #日志服务器 ip 视实际情况来确定。                           
3、重启 syslog 服务                                                  
#/etc/init.d/syslog stop                                          
#/etc/init.d/syslog start
二、记录安全事件日志
1、redhat5.x 之前编辑 /etc/syslog.conf,在文件中加入如下内容:                                                
    *.err;kern.debug;daemon.notice /var/adm/messages,其中 /var/adm/messages 为日志文件。                                                             
   (1)、如果该文件不存在,则创建该文件,命令为:                                                       
        #touch /var/adm/messages                                                                            
   (2)、修改权限为 666,命令为:                                                                         
        #chmod 666 /var/adm/messages                                                                        
   (3)、重启日志服务:                                                                                 
        #/etc/init.d/syslog restart                                                                        
2、redhat6.x 编辑 etc/rsyslog.conf,在文件中加入如下内容:                                                    
    *.err;kern.debug;daemon.notice /var/adm/messages,其中 /var/adm/messages 为日志文件。                   
   (1)、如果该文件不存在,则创建该文件,命令为:                                                       
        #touch /var/adm/messages                                                                            
   (2)、修改权限为 666,命令为:                                                                          
        #chmod 666 /var/adm/messages                                                                        
   (3)、重启日志服务:                                                                                 
        #/etc/init.d/syslog restart                                                                        
3、SUSE 编辑文件 /etc/syslog-ng/syslog-ng.conf,在文件中加入如下内容:                                       
    filter f_msgs {level(err) or facility(kern) and level(debug) or facility(daemon) and level(notice); }; 
    destination msgs {file( /var/adm/msgs};                                                            
    log {source(src); filter(f_msgs); destination(msgs); }; 其中 /var/adm/msgs 为日志文件。                 
   (1)、如果该文件不存在,则创建该文件,命令为:                                                          
        #touch /var/adm/msgs                                                                                
   (2)、修改权限为 666,命令为:                                                                         
        #chmod 666 /var/adm/msgs                                                                            
   (3)、重启日志服务:                                                                                 
        #/etc/init.d/syslog restart 
======
系统服务
一、限制 root 用户 SSH 远程登录
1、执行备份:                                                                                         
    #cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak                                                                                                                        
2、新建一个普通用户并设置高强度密码(防止设备上只存在 root 用户可用时,无法远程访问):                   
    #useradd username                                                                                  
    #passwd username                                                                                  
3、禁止 root 用户远程登录系统                                                                            
   (1)、编辑文件 /etc/ssh/sshd_config(vi /etc/ssh/sshd_config),修改 PermitRootLogin 值为 no 并去掉注释。
        PermitRootLogin no                      # 则禁止了 root 从 ssh 登录。                             
   (2)、重启 SSH 服务                                                                                
        #/etc/init.d/sshd restart                                                                      
4、修改 SSH 协议版本                                                                                    
   (1)、编辑文件 /etc/ssh/sshd_config(vi /etc/ssh/sshd_config),修改 Protocol 的值为 2 并去掉注释。     
        Protocol 2                                                                                    
   (2)、重启 ssh 服务                                                                                
        #/etc/init.d/sshd restart 
=============
文件权限
一、登陆超时时间设置  
    1、执行备份                                                                                                                    
        #cp -p /etc/profile /etc/profile_bak                        
    2、在 /etc/profile 文件增加以下两行 (如果存在则修改,否则手工添加):
        #vi /etc/profile                                            
        TMOUT=300                                  #TMOUT 按秒计算    
        export TMOUT 
二、系统 core dump 状态  
                1、编辑文件 /etc/security/limits.conf(vi /etc/security/limits.conf),在文件末尾加入如下两行 (存在则修改,不存在则新增):                             
                    * soft core 0                                                                                                    
                    * hard core 0                                                                                                    
                2、编辑文件 /etc/profile(vi /etc/profile) 注释掉如下行:                                                               
                    #ulimit -S -c 0 /dev/null 2 1  
三、修改 SSH 的 Banner 信息
   1、修改文件 /etc/motd 的内容,如没有该文件,则创建它:                                                                                                                   
       #touch /etc/motd                                                                      
   2、使用如下命令在文件 /etc/motd 中添加 banner 信息。                                         
       #echo Authorized users only. All activity may be monitored and reported /etc/motd
        可根据实际需要修改该文件的内容。
四、禁止组合键关机
编辑文件 /etc/inittab, 将以下行删除、注释, 或者将此行:
    ca::ctrlaltdel:/sbin/shutdown -r -t 4 now                                                              
修改为:                                           
    ca::ctrlaltdel:/bin/true 
五、禁止 ICMP 重定向  
1、备份文件                                                                                      
    #cp -p /etc/sysctl.conf /etc/sysctl.conf_bak                          
2、编辑文件 /etc/sysctl.conf,将 net.ipv4.conf.all.accept_redirects 的值改为 0
3、使配置生效 #sysctl  -p 
六、使用 PAM 认证模块禁止 wheel 组之外的用户 su 为 root
1、编辑文件 (vi /etc/pam.d/su)                                                                                            
   (1)、redhat4.x(32 位) 在文件开头加入如下两行 (有则修改, 没有则添加):                                                                                                      
        auth       sufficient   /lib/security/$ISA/pam_rootok.so                                                          
        auth       required    /lib/security/$ISA/pam_wheel.so use_uid                                                    
        #注意 auth 与 sufficient 之间由两个 tab 建隔开,sufficient 与动态库路径之间使用一个 tab 建隔开                              
   (2)、redhat4.x(64 位) 在文件开头加入如下两行 (有则修改, 没有则添加):                                                    
        auth       sufficient   /lib64/security/$ISA/pam_rootok.so                                                        
        auth       required    /lib64/security/$ISA/pam_wheel.so use_uid                                                  
        #注意 auth 与 sufficient 之间由两个 tab 建隔开,sufficient 与动态库路径之间使用一个 tab 建隔开                              
   (3)、redhat5.x 和 redhat6.x 在文件开头加入如下两行(有则修改, 没有则添加):                                              
        auth            sufficient      pam_rootok.so                                                                    
        auth            required        pam_wheel.so use_uid                                                              
        #注意 auth 与 sufficient 之间由两个 tab 建隔开,sufficient 与动态库路径之间使用一个 tab 建隔开                            
说明:(这表明只有 wheel 组中的用户可以使用 su 命令成为 root 用户。你可以把用户添加到 wheel 组,以使它可以使用 su 命令成为 root 用户。)
添加方法:                                                                                                                
    #usermod -G wheel username            #username 为需要添加至 wheel 组的账户名称。
七、禁止 IP 源路由  
1、如果此项检查失败, 请执行以下命令进行修复:                                                     
    for f in /proc/sys/net/ipv4/conf/*/accept_source_route
    do                                                    
       echo 0 $f                                        
    done    
八、更改主机解析地址的顺序
1、编辑 /etc/host.conf 文件
    #vi /etc/host.conf,在空白处加入下面三行:
    order hosts,bind       #第一项设置首先通过 DNS 解析 IP 地址, 然后通过 hosts 文件解析。
    multi on                  # 第二项设置检测是否 /etc/hosts 文件中的主机是否拥有多个 IP 地址(比如有多个以太口网卡)。
    nospoof on             #第三项设置说明要注意对本机未经许可的 IP 欺骗。
九、更改历史命令
1、编辑文件 /etc/profile,在文件中加入如下两行(存在则修改):                                             
    HISTFILESIZE=5                                        
    HISTSIZE=5                                            
2、执行以下命令让配置生效                                  
    #source /etc/profile                                  

以上是“linux 安全策略如何加固”这篇文章的所有内容,感谢各位的阅读!相信大家都有了一定的了解,希望分享的内容对大家有所帮助,如果还想学习更多知识,欢迎关注丸趣 TV 行业资讯频道!

正文完
 
丸趣
版权声明:本站原创文章,由 丸趣 2023-08-25发表,共计10251字。
转载说明:除特殊说明外本站除技术相关以外文章皆由网络搜集发布,转载请注明出处。
评论(没有评论)