linux系統(tǒng)安全加固方案_第1頁
linux系統(tǒng)安全加固方案_第2頁
linux系統(tǒng)安全加固方案_第3頁
linux系統(tǒng)安全加固方案_第4頁
linux系統(tǒng)安全加固方案_第5頁
已閱讀5頁,還剩10頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

年4月19日linux系統(tǒng)安全加固方案文檔僅供參考TOC\o"1-3"\h\u209541概述 -1-326541.1適用范圍 -1-124302用戶賬戶安全加固 -1-70142.1修改用戶密碼策略 -1-73652.2鎖定或刪除系統(tǒng)中與服務(wù)運(yùn)行,運(yùn)維無關(guān)的的用戶 -1-247362.3鎖定或刪除系統(tǒng)中不使用的組 -2-215242.4限制密碼的最小長度 -2-142973用戶登錄安全設(shè)置 -3-83443.1禁止root用戶遠(yuǎn)程登錄 -3-324843.2設(shè)置遠(yuǎn)程ssh登錄超時(shí)時(shí)間 -3-236413.3設(shè)置當(dāng)用戶連續(xù)登錄失敗三次,鎖定用戶30分鐘 -4-217903.4設(shè)置用戶不能使用最近五次使用過的密碼 -4-22543.5設(shè)置登陸系統(tǒng)賬戶超時(shí)自動(dòng)退出登陸 -5-244344系統(tǒng)安全加固 -5-254384.1關(guān)閉系統(tǒng)中與系統(tǒng)正常運(yùn)行、業(yè)務(wù)無關(guān)的服務(wù) -5-269444.2禁用“CTRL+ALT+DEL”重啟系統(tǒng) -6-269444.3加密grub菜單 -6-1概述1.1適用范圍本方案適用于銀視通信息科技有限公司linux主機(jī)安全加固,供運(yùn)維人員參考對linux主機(jī)進(jìn)行安全加固。2用戶賬戶安全加固2.1修改用戶密碼策略(1)修改前備份配置文件:/etc/login.defscp/etc/login.defs/etc/login.defs.bak(2)修改編輯配置文件:vi/etc/login.defs,修改如下配置:PASS_MAX_DAYS90(用戶的密碼不過期最多的天數(shù))PASS_MIN_DAYS0(密碼修改之間最小的天數(shù))PASS_MIN_LEN8(密碼最小長度)PASS_WARN_AGE7(口令失效前多少天開始通知用戶更改密碼)(3)回退操作~]#cp/etc/login.defs.bak/etc/login.defs2.2鎖定或刪除系統(tǒng)中與服務(wù)運(yùn)行,運(yùn)維無關(guān)的的用戶(1)查看系統(tǒng)中的用戶并確定無用的用戶~]#more/etc/passwd(2)鎖定不使用的賬戶(鎖定或刪除用戶根據(jù)自己的需求操作一項(xiàng)即可)鎖定不使用的賬戶:~]#usermod-Lusername或刪除不使用的賬戶:~]#userdel-fusername(3)回退操作用戶鎖定后當(dāng)使用時(shí)可解除鎖定,解除鎖定命令為:~]#usermod-Uusername2.3鎖定或刪除系統(tǒng)中不使用的組(1)操作前備份組配置文件/etc/group~]#cp/etc/group/etc/group.bak(2)查看系統(tǒng)中的組并確定不使用的組~]#cat/etc/group刪除或鎖定不使用的組鎖定不使用的組:修改組配置文件/etc/group,在不使用的組前加“#”注釋掉該組即可刪除不使用的組:~]#groupdelgroupname(4)回退操作~]#cp/etc/group.bak/etc/group2.4限制密碼的最小長度操作前備份組配置文件/etc/pam.d/system-auth~]#cp/etc/pam.d/etc/pam.d.bak設(shè)置密碼的最小長度為8修改配置文件/etc/pam.d,在行”passwordrequisitepam_pwquality.sotry_first_passlocal_users_onlyretry=3authtok_type=”中添加“minlen=8”,或使用sed修改:~]#sed-i"s#passwordrequisitepam_pwquality.sotry_first_passlocal_users_onlyretry=3authtok_type=#passwordrequisitepam_pwquality.sotry_first_passlocal_users_onlyretry=3minlen=8authtok_type=#g"/etc/pam.d/system-auth回退操作~]#cp/etc/pam.d.bak/etc/pam.d3用戶登錄安全設(shè)置3.1禁止root用戶遠(yuǎn)程登錄(1)修改前備份ssh配置文件/etc/ssh/sshd_conf~]#cp/etc/ssh/sshd_conf/etc/ssh/sshd_conf.bak(2)修改ssh服務(wù)配置文件不允許root用戶遠(yuǎn)程登錄編輯/etc/ssh/sshd_config找到“#PermitRootLoginyes”去掉注釋并修改為“PermitRootLoginno”或者使用sed修改,修改命令為:~]#sed-i"s@#PermitRootLoginyes@PermitRootLoginno@g"/etc/ssh/sshd_config(3)修改完成后重啟ssh服務(wù)Centos6.x為:~]#servicesshdrestartCentos7.x為:~]#systemctlrestartsshd.service(4)回退操作~]#cp/etc/ssh/sshd_config.bak/etc/ssh/sshd_config3.2設(shè)置遠(yuǎn)程ssh登錄超時(shí)時(shí)間(1)修改前備份ssh服務(wù)配置文件/etc/ssh/sshd_config~]#cp/etc/ssh/sshd_conf/etc/ssh/sshd_conf.bak(2)設(shè)置遠(yuǎn)程ssh登錄長時(shí)間不操作退出登錄編輯/etc/ssh/sshd_conf將”#ClientAliveInterval0”修改為”ClientAliveInterval180”,將”#ClientAliveCountMax3”去掉注釋,或執(zhí)行如下命令:~]#sed-i"s@#ClientAliveInterval0@ClientAliveInterval180@g"/etc/ssh/sshd_config~]#sed-i"s@#ClientAliveCountMax3@ClientAliveCountMax3@g"/etc/ssh/sshd_config(3)配置完成后保存并重啟ssh服務(wù)Centos6.x為:~]#servicesshdrestartCentos7.x為:~]#systemctlrestartsshd.service(4)回退操作~]#cp/etc/ssh/sshd_config.bak/etc/ssh/sshd_config3.3設(shè)置當(dāng)用戶連續(xù)登錄失敗三次,鎖定用戶30分鐘(1)配置前備份配置文件/etc/pam.d/sshd~]#cp/etc/pam.d/sshd/etc/pam.d/sshd.bak(2)設(shè)置當(dāng)用戶連續(xù)輸入密碼三次時(shí),鎖定該用戶30分鐘修改配置文件/etc/pam.d/sshd,在配置文件的第二行添加內(nèi)容:authrequiredpam_tally2.sodeny=3unlock_time=300(3)若修改配置文件出現(xiàn)錯(cuò)誤,回退即可,回退操作:~]#cp/etc/pam.d/sshd.bak/etc/pam.d/sshd3.4設(shè)置用戶不能使用最近五次使用過的密碼(1)配置前備份配置文件/etc/pam.d/sshd~]#cp/etc/pam.d/system-auth/etc/pam.d/system-auth.bak(2)配置用戶不能使用最近五次使用的密碼修改配置文件/etc/pam.d/sshd,找到行”passwordsufficientpam_unix.sosha512shadownulloktry_first_passuse_authtok”,在最后加入remember=10,或使用sed修改~]#sed-i"s@#passwordsufficientpam_unix.sosha512shadownulloktry_first_passuse_authtok@passwordsufficientpam_unix.sosha512shadownulloktry_first_passuse_authtokremember=10@g"/etc/ssh/sshd_config(3)回退操作~]#cp/etc/pam.d/sshd.bak/etc/pam.d/sshd3.5設(shè)置登陸系統(tǒng)賬戶超時(shí)自動(dòng)退出登陸(1)設(shè)置登錄系統(tǒng)的賬號(hào)長時(shí)間不操作時(shí)自動(dòng)登出修改系統(tǒng)環(huán)境變量配置文件/etc/profile,在文件的末尾加入”TMOUT=180”,使登錄系統(tǒng)的用戶三分鐘不操作系統(tǒng)時(shí)自動(dòng)退出登錄。~]#echoTMOUT=180>>/etc/profile(2)使配置生效執(zhí)行命令:~]#./etc/profile #或source/etc/profile(3)回退操作刪除在配置文件”/etc/profile”中添加的”TMOUT=180”,執(zhí)行命令./etc/profile使配置生效。4系統(tǒng)安全加固4.1關(guān)閉系統(tǒng)中與系統(tǒng)正常運(yùn)行、業(yè)務(wù)無關(guān)的服務(wù)(1)查看系統(tǒng)中的所有服務(wù)及運(yùn)行級別,并確定哪些服務(wù)是與系統(tǒng)的正常運(yùn)行及業(yè)務(wù)無關(guān)的服務(wù)。~]#chkconfig--list(2)關(guān)閉系統(tǒng)中不用的服務(wù)~]#chkconfigservernameoff(3)回退操作,如果意外關(guān)閉了與系統(tǒng)業(yè)務(wù)運(yùn)行相關(guān)的服務(wù),可將該服務(wù)開啟~]#chkconfigservernameon4.2禁用“CTRL+ALT+DEL”重啟系統(tǒng)(1)rhel6.x中禁用“ctrl+alt+del”鍵重啟系統(tǒng)修改配置文件“/etc/init/control-alt-delete.conf”,注釋掉行“startoncontrol-alt-delete

”。或用sed命令修改:~]#sed-i"s@startoncontrol-alt-delete@#startoncontrol-alt-delete@g"/etc/init/control-alt-delete.conf(2)rhel7.x中禁用“ctrl+alt+del”鍵重啟系統(tǒng)修改配置文件“/usr/lib/systemd/system/ctrl-alt-del.target”,注釋掉所有內(nèi)容。(3)使修改的配置生效~]#initq4.3加密grub菜單加密Redhat6.xgrub菜單備份配置文件/boot/grub/grub.conf~]#cp/boot/grub/grub.conf/boot/grub/grub.conf.bak將密碼生成秘鑰~]#grub-md5-cryptPassword:Retypepassword:$1$nCPeR/$mUKEeqnBp8G.P.Hrrreus.為grub加密修改配置文件/boot/grub/grub.conf,在”timeout=5”行下加入”password--md5$1$CgxdR/$9ipaqi8aVriEpF0nvfd8x.”,”$1$CgxdR/$9ipaqi8aVriEpF0nvfd8x.”為加密后的密碼。回退~]#cp/boot/grub/grub.conf/boot/grub/grub.co

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論