Linux系統安全加固淺談
以下文件規定了國內4A認證公司系統維護管理的Linux作業系統的主機應當遵循的作業系統安全性設定標準,旨在之道系統管理人員或者安全檢查人員進行Linux作業系統的安全合規性檢查和配置。
第一類:賬號口令
1)、口令生存期 [[email protected]
PASS_MAX_DAYS 90 使用者的密碼不過期最多的天數
PASS_MIN_DAYS 10 密碼修改之間最小的天數
PASS_WARN_AGE 7 口令失效前多少天開始通知使用者修改密碼
2)、口令複雜度 [[email protected] ~]# vim /etc/pam.d/system-auth,在檔案中找到如下內容: password requisite pam_cracklib.so 將其修改為:
password requisite pam_cracklib.so try_first_pass retry=3 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=8
備註:至少包含一個數字、一個小寫字母、一個大寫字母、一個特殊字元、且密碼長度>=8 3)、版本資訊 [[email protected] ~]# cat /etc/system-release CentOS release 6.8 (Final) 4)、限制某使用者登陸 [[email protected] ~]#vim /etc/hosts.deny 對配置檔案進行修改
新增內容:
#禁止192.168.0.254使用者對伺服器進行ssh的登陸 sshd : 192.168.0.254 或者用防火牆策略:
5)、檢查是否有除root使用者以外UID為0的使用者 [[email protected] ~]# awk -F “:” '($3==0) {print $1} ' /etc/passwd 作業系統Linux超級使用者策略安全基線要求專案,要求除roo外不能有UID為0的使用者。iptables -I INPUT -s 61.37.81.1 -j DROP # 61.37.81.1的包全部遮蔽 iptables -I INPUT -s 61.37.81.0/24 -j DROP #61.37.81.1到61.37.81.255的訪問全部遮蔽 iptables -I INPUT -s 192.168.1.202 -p tcp --dport 80 -j DROP # 192.168.1.202的80埠的訪問全部遮蔽 iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 80 -j DROP #192.168.1.1~192.168.1.1255的80埠的訪問全部遮蔽
6)、登入超時限制 [[email protected] ~]# cp -p /etc/profile /etc/profile_bak
[[email protected] ~]# vi /etc/profile
TMOUT=300
export TMOUT 7)、檢查是否使用PAM認證模組禁止wheel組之外的使用者su為root [[email protected] ~]# #vim /etc/pam.d/su # 新新增以下兩行 auth sufficient pam_rootok.so auth required pam_wheel.so use_uid 注意:auth與sufficient之間由兩個tab建隔開,sufficient與動態庫路徑之間使用一個tab建隔開
然後,:usermod -G wheel username #username為需要新增至wheel組的使用者名稱稱,將使用者新增到wheel組。注意,第一步加固表明只有wheel組中的使用者才能使用su命令切換到root使用者,因此必須將需要切換到root的使用者新增到wheel組,以使它可以使用su命令成為root使用者,如果系統不存在wheel組,則新增,新增方法:groupadd wheel。 PAM(Pluggable Authentication Module)是一個可插入式認證模組,在Linux系統中,各種不同的應用程式都需要完成認證功能,為了實現統一調配,把所有需要認證的功能做成一個模組(認證機制特別複雜的除外,如:https),當特定的程式需要完成認證功能的時候,就去呼叫PMA的認證模組。
第二類:協議安全 1)、限制root使用者遠端登入SSH [[email protected] ~]# grep -v "[[:space:]]*#" /etc/ssh/sshd_config |grep "PermitRootLogin no"
PermitRootLogin no 並且修改為protocol 2
2)、使用SSH協議程序遠端登陸 [[email protected] ~]# #cp -p /etc/xinetd.d/telnet /etc/xinetd.d/telnet_bak
[[email protected] ~]# /etc/xinetd.d/telnet(vi /etc/xinetd.d/telnet), 把disable項改為yes,即disable = yes.
[[email protected] ~]# #service xinetd restart 使用Telnet這個用來訪問遠端計算機的TCP/IP協議以控制你的網路裝置,相當於在離開某個建築時大喊你的使用者名稱和口令。很快會有人進行監聽,並且他們會利用你安全意識的缺乏。傳統的網路服務程式如:ftp、pop和telnet在本質上都是不安全的,因為它們在網路上用明文傳送口令和資料,別有用心的人非常容易就可以截獲這些口令和資料。SSH是替代Telnet和其他遠端控制檯管理應用程式的行業標準。SSH命令是加密的並以幾種方式進行保密。 在使用SSH的時候,一個數字證書將認證客戶端(你的工作站)和伺服器(你的網路裝置)之間的連線,並加密受保護的口令。 3)、禁止root使用者登陸FTP [[email protected] ~]##cat /etc/pam.d/vsftpd
auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed #其中file=/etc/vsftpd/ftpusers即為當前系統上的ftpusers檔案. [[email protected] ~]#echo “root” >> /etc/vsftpd/ftpusers
daemon
bin
sys
lp
uucp
nuucp
listen
nobody
noaccess
nobody4
root 4)、禁止匿名FTP [[email protected] ~]#vim /etc/vsftpd/vsftpd.conf
anonymous_enable=NO #如果存在anonymous_enable則修改,如果不存在則手動增加
5)、預防Flood攻擊 [[email protected] ~]# vim /etc/sysctl.conf [[email protected] ~]# net.ipv4.tcp_syncookies = 1 [[email protected] ~]# sysctl -p 讓命令生效
第三類:認證許可權 1)、檔案與目錄預設許可權控制 [[email protected] ~]#cp /etc/profile /etc/profile.bak
[[email protected] ~]# vim /etc/profile umask 027 [[email protected] ~]#source /etc/profile 2)、配置使用者最小許可權 [[email protected] ~]# chmod 644 /etc/passwd
[[email protected] ~]# chmod 400 /etc/shadow
[[email protected] ~]# chmod 644 /etc/group 第四類:日誌審計 什麼是日誌?簡單地說,日誌就是計算機系統、裝置、軟體等在某種情況下記錄的資訊。具體的內容取決於日誌的來源。例如,Linux作業系統會記錄使用者登入和登出的訊息,防火牆將記錄ACL通過和拒絕的訊息,磁碟儲存系統在故障發生或者在某些系統認為將會發生故障的情況下生成日誌資訊。日誌中有大量資訊,這些資訊告訴你為什麼需要生成日誌,系統已經發生了什麼。 例如,Web伺服器一般會在有人訪問Web頁面請求資源(圖片、檔案等等)的時候記錄日誌。如果使用者訪問的頁面需要通過認證,日誌訊息將會包含使用者名稱。這就是日誌資料的一個例子:可以使用使用者名稱來判斷誰訪問過一個資源。通過日誌,IT管理人員可以瞭解系統的執行狀況,安全狀況,甚至是運營的狀況。 1)、啟用遠端日誌功能 Linux上通常可以通過rsyslog來實現系統日誌的集中管理,這種情況下通常會有一個日誌伺服器,然後每個機器配置自己日誌通過rsyslog來寫到遠端的日誌伺服器上。
rsyslog是一個開源工具,被廣泛用於Linux系統以通過TCP/UDP協議轉發或接收日誌訊息。rsyslog守護程序可以被配置成兩種環境,一種是配置成日誌收集伺服器,rsyslog程序可以從網路中收集其它主機上的日誌資料,這些主機會將日誌配置為傳送到另外的遠端伺服器。rsyslog的另外一個用法,就是可以配置為客戶端,用來過濾和傳送內部日誌訊息到本地資料夾(如/var/log)或一臺可以路由到的遠端rsyslog伺服器上。
假定你的網路中已經有一臺已經配置好並啟動的rsyslog伺服器,本指南將為你展示如何來設定CentOS系統將其內部日誌訊息路由到一臺遠端rsyslog伺服器上。這將大大改善你的系統磁碟空間的使用,尤其是當你還沒有一個用於/var目錄的獨立的大分割槽。 [[email protected] ~]# vim /etc/rsyslog.conf,增加如下內容: *.* @Syslog日誌伺服器IP ###注意:*和@之間存在的是tab鍵,非空格。 2)、檢查是否記錄安全事件日誌
[[email protected] ~]# vim /etc/syslog.conf 或者 /etc/rsyslog.conf,在檔案中加入如下內容:
*.err;kern.debug;daemon.notice /var/log/messages
[[email protected] ~]# chmod 640 /var/log/messages [[email protected] ~]# service rsyslog restart
相關推薦
Linux系統安全加固淺談
對於企業來說,安全加固是一門必做的安全措施。主要分為:賬號安全、認證授權、協議安全、審計安全。總的來說,就是4A(統一安全管理平臺解決方案),賬號管理、認證管理、授權管理、審計管理。用漏洞掃描工具掃
Linux系統安全加固設定詳細教程
1、如果是新安裝系統, 一、對磁碟分割槽應考慮安全性: 1)根目錄(/)、使用者目錄(/home)、臨時目錄(/tmp)和/var目錄應分開到不同的磁碟分割槽; 2)以上各目錄所在分割槽的磁碟空間大小應充分考慮,避免因某些原因造成分割槽空間用完而導致系統崩潰; 2、對於/tmp和/va
Linux系統安全及應用
linux 賬號安全 nmap 弱口令檢測 楊書凡 作為一個開放源代碼的操作系統,Linux服務器以其安全、高效和穩定的顯著優勢而得以廣泛應用。下面主要從賬戶安全、系統引導、登錄控制的角度,優化Linux系統的安全性賬號安全控制 用戶賬號,是計算機使用者的身份憑證,每個訪問系
linux系統安全標準規範
sys modify any grub加密 icmp server can fixed bit 首先確保所使用的linux系統中的所有軟件都已經安裝到最新版本。linux下的漏洞或者叫做不規範大致如下幾點:用戶登錄,openssl, CA證書,GRUB加密,SMB密碼永不過
1 操作系統安全加固
補丁 重新 等等 huawei lin nologin 提醒 設備 ali 1 操作系統安全加固... vi1.1 Linux安全加固... vi1.1.1 對系統賬號進行登錄限制... vi1.1.2 設置登錄超時時間... vii1.1.3 設置關鍵目錄的權限... v
linux系統安全-弱口令檢測和端口掃描
弱口令檢測 端口掃描 john NMAP 一、linux系統安全概要二、詳細說明1)用戶方面清除一些不必要的系統用戶,可以減少黑客攻擊我們linux的入口;鎖定賬號適用於員工在一段時間不適用賬號的場景(usermod -L);而鎖定/etc下的passwd和shadow文件可以避免非法用戶建立
Linux系統安全04使用iptables阻止訪問特定網站
tps sid string onf 系統安全 post eth ide PE 主要使用iptables的string擴展模塊,使用string參數阻止訪問特定網站的http/https服務,使用hex-string參數阻止對特定域名進行DNS解析。 比如,阻止訪問ba
Linux 系統安全最小化原則
Linux 系統安全最小化原則對 Linux 系統安全來說極其重要;即多一事不如少一事,具體包括如下幾個方面: 安裝 Linux 系統最小化,即選包最小化,yum 安裝軟件包也要最小化,無用的包不裝。 開機自啟動服務最小化,即無用的服務不開啟。 操作命令最小化。例如:能用 " rm -f test
Linux系統安全最小原則
ont 關閉防火墻 開機 net lin 防火 模板 命令 linux 系統安全最小原則 1.安裝Linux系統最小化,選包最小化,不用就不安裝2.開機服務最小化(5個)ssh network sysstat crontd rsyslog3.操作命令最小化 rm -rf
Linux 系統安全配置 Debian => 禁止root SSH登陸+配置SSH Key+配置iptables
ssh-key fir 應用 ble exc 當前 root密碼 exchange ports Linux 系統安全配置 Debian => 禁止root SSH登陸+配置SSH Key+配置iptables 當我們安裝完Linux系統作為服務器後,總有一系列的安全配
Linux系統安全
auth all log 加密 之前 系統管 指定 ini alt 安全 1.分類 1)物理安全(防止人為破壞或自然災害) 2)系統安全(用戶、權限、訪問控制等) 3)網絡安全(VLAN、Qos、端口、×××) 4)數據安全(RAID、加密、令牌等) 二、系統安全 1.用戶
linux系統安全檢查指令碼
轉自:http://www.freebuf.com/sectool/108564.html check.sh #!/bin/bash echo " (__)" echo " &nb
centos7 系統安全加固方案
防止 默認 class one crack 遠程登錄 數字 mef alt 一.密碼長度與有效期 默認配置: [root@i-1y3we23j ~]# cat /etc/login.defs |grep PASS_ |grep -v ‘#‘ PASS_MAX_DAYS
六招輕鬆搞定你的CentOS系統安全加固
六招輕鬆搞定你的CentOS系統安全加固 Redhat是目前企業中用的最多的一類Linux,而目前針對Redhat攻擊的黑客也越來越多了。我們要如何為這類伺服器做好安全加固工作呢? 一. 賬戶安全 1.1 鎖定系統中多餘的自建帳號 檢查方法: 執行命令 #cat /e
Linux伺服器安全加固
對未經過安全認證的RPM包進行安全檢查 rpm -qp xxx.rpm --scripts 檢視rpm包中的指令碼資訊 對使用者的登入次數進行限制 有一些攻擊性的軟體是專門採用暴力破解密碼的形式反覆進行登入嘗試,對於這種情況,我們可以調整使用者登入次數
伺服電機三環控制系統調節方法淺談(轉載)
隨著工業自動化程度的不斷提高,伺服控制技術、電力電子技術和微電子技術的快速發展,伺服運動與控制技術也在不斷走向成熟,電機運動控制平臺作為一種高效能的測試方式已經被廣泛應用,人們對伺服效能的要求也在不斷提高。 一、三環控制原理 1、首先是電流環,此環完全在伺服驅動器內部進行
Linux系統安全設定
根據此文章寫了一個自動檢測指令碼 指令碼位置:https://gitee.com/wdze/linux_security_settings 一、賬號管理 1、使用者密碼 檢測方法: (1)是否存在如下類似的簡單使用者密碼配置,比如:root/root, test/test,
IT運維管理(安全篇)--淺談企業資料安全儲存的重要性
在如今企業當中計算機的普遍使用,資料安全逐漸成為一個重點課題。雲端計算、虛擬化、移動化概念的層出,據資料顯示,企業中辦公人員的電腦使用率已經達到95%以上,這麼高的電腦使用率給資料的安全性帶來了嚴重的威脅。資料是任何企業的命脈,重要的資料,例如電子郵件、財務報表和員工檔案等
ERP系統維護工作淺談
筆者從事企業MIS/ERP開發、實施及維護工作多年,常為媒體上刊登的ERP類的精彩文章喝彩,同時感到報刊上的文章已經從ERP概念的引導發展到選型實施類報道。但對系統維護工作這部分在系統生存期內佔用了很多時間、費用、工作量的環節介紹得太少。筆者認為,當ERP應用進入成熟期時,
Linux系統安全筆記
Linux系統安全筆記 https://insecure.org/https://sectools.org/SecTools.Org:排名前125的網路安全工具 http://www.ibm.com/developerworks/cn/edu/l-dw-l-harden-desktop.htmlhttps