linux系統(tǒng)安全加固方法_第1頁
linux系統(tǒng)安全加固方法_第2頁
linux系統(tǒng)安全加固方法_第3頁
已閱讀5頁,還剩4頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、1.1 適用范圍 -.1-2用戶賬戶安全加固 -1-2.1修改用戶密碼策略 :.1-2.2鎖定或刪除系統(tǒng)中與服務運行,運維無關(guān)的的用戶 :1-2.3鎖定或刪除系統(tǒng)中不使用的組 -.2-2.4限制密碼的最小長度 -.2-3用戶登錄安全設置 -3 -3.1禁止root用戶遠程登錄 -.3 -3.2設置遠程ssh登錄超時時間 .-.4 -3.3設置當用戶連續(xù)登錄失敗三次,鎖定用戶30分鐘 -5 -3.4設置用戶不能使用最近五次使用過的密碼 .-.5 -3.5設置登陸系統(tǒng)賬戶超時自動退出登陸 -.6 -4系統(tǒng)安全加固 -6 -4.1關(guān)閉系統(tǒng)中與系統(tǒng)正常運行、業(yè)務無關(guān)的服務 .-6 -4.2 禁用“ C

2、TRL+ALT+DEL重啟系統(tǒng) 7-4.3 加密 grub 菜單.7-1概述1.1適用范圍linux本方案適用于銀視通信息科技有限公司linux主機安全加固,供運維人員參考對主機進行安全加固。2用戶賬戶安全加固2.1修改用戶密碼策略(1 )修改前備份配置文件:/etc/logi n.defs(2)修改編輯配置文件:vi /etc/login.defs,修改如下配置:PASS_MAX_DAYS 90 (用戶的密碼不過期最多的天數(shù))PASS_MIN_DAYS 0 (密碼修改之間最小的天數(shù))PASS_MIN_LEN 8(密碼最小長度)PASS_WARN_AGE 7 ( 口令失效前多少天開始通知用戶更

3、改密碼)*(3)回退操作2.2鎖定或刪除系統(tǒng)中與服務運行,運維無關(guān)的的用戶(1 )查看系統(tǒng)中的用戶并確定無用的用戶# more /etc/passwd(2)鎖定不使用的賬戶(鎖定或刪除用戶根據(jù)自己的需求操作一項即可)鎖定不使用的賬戶:或刪除不使用的賬戶:# userdel -f username(3 )回退操作用戶鎖定后當使用時可解除鎖定,解除鎖定命令為:# usermod -U username2.3鎖定或刪除系統(tǒng)中不使用的組(1) 操作前備份組配置文件/etc/group# cp /etc/group /etc/group.bak(2) 查看系統(tǒng)中的組并確定不使用的組# cat /etc/

4、group(3 )刪除或鎖定不使用的組鎖定不使用的組:修改組配置文件/etc/group,在不使用的組前加“ #”注釋掉該組即可刪除不使用的組:# groupdel groupname(4 )回退操作# cp /etc/group.bak /etc/group2.4限制密碼的最小長度頁腳內(nèi)容(1) 操作前備份組配置文件/etc/pam.d/system-auth(2) 設置密碼的最小長度為8修改配置文件 /etc/pam.d,在行” password requisitepam_pwquality.so try_first_pass local_users_o nly retry=3authto

5、k_type= ”中添加“ minlen=8 ”,或使用 sed 修改:# sed -i "s#password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=#password requisite pam_pwquality.so try_first_pass local_users_only retry=3 minlen=8 authtok_type=#g" /etc/pam.d/system-auth(3)回退操作3用戶登錄安全設置3.1禁止root用戶遠

6、程登錄(1) 修改前備份ssh配置文件/etc/ssh/sshd_conf# cp /etc/ssh/sshd_conf /etc/ssh/sshd_conf.bakn_II(2) 修改ssh服務配置文件不允許root用戶遠程登錄編輯 /etc/ssh/sshd_config 找到“ #PermitRootLogin yes 去掉注釋并修改為“PermitRootLogin no”或者使用sed修改,修改命令為:# sed -i "s#PermitRootLogin yesPermitRootLogin nog"/etc/ssh/sshd_config(3)修改完成后重啟s

7、sh服務Ce ntos6.x 為:# service sshd restartCen tos7.x 為:# systemctl restart sshd.service(4 )回退操作# cp /etc/ssh/sshd_config.bak /etc/ssh/sshd_config3.2設置遠程ssh登錄超時時間(1) 修改前備份ssh服務配置文件/etc/ssh/sshd_config# cp /etc/ssh/sshd_conf /etc/ssh/sshd_conf.bak(2) 設置遠程ssh登錄長時間不操作退出登錄編輯/etc/ssh/sshd_conf 將” #ClientAliv

8、elnterval 0修改為” ClientAlivelnterval180”,將” #ClientAliveCountMax去掉注釋,或執(zhí)行如下命令:# sed -i "s#ClientAlivelnterval OClientAlivelnterval 180g"/etc/ssh/sshd_config# sed -i "s#ClientAliveCountMax 3ClientAliveCountMax 3g"/etc/ssh/sshd_config(3) 配置完成后保存并重啟ssh服務Ce ntos6.x 為:# service sshd res

9、tartCen tos7.x 為:# systemctl restart sshd.service(4 )回退操作# cp /etc/ssh/sshd_config.bak /etc/ssh/sshd_config3.3設置當用戶連續(xù)登錄失敗三次,鎖定用戶30分鐘(1)配置前備份配置文件/etc/pam.d/sshd# cp /etc/pam.d/sshd /etc/pam.d/sshd.bak(2)設置當用戶連續(xù)輸入密碼三次時,鎖定該用戶30分鐘修改配置文件/etc/pam.d/sshd,在配置文件的第二行添加內(nèi)容:勺auth required pam_tally2.so deny=3 un

10、lock_time=300(3)若修改配置文件出現(xiàn)錯誤,回退即可,回退操作:# cp /etc/pam.d/sshd.bak /etc/pam.d/sshd3.4設置用戶不能使用最近五次使用過的密碼(1)配置前備份配置文件/etc/pam.d/sshd# cp /etc/pam.d/system-auth /etc/pam.d/system-auth.bak(2)配置用戶不能使用最近五次使用的密碼修改配置文件 /etc/pam.d/sshd,找到行 ” passwordsufficientpam_ uni x.so sha512 shadow n ullok try_first_pass us

11、e_authtok,在最后加入”remember=10,或使用 sed修改# sed -i "s#password sufficient pam_unix.so sha512 shadow nulloktry_first_pass use_authtokpassword sufficient pam_unix.so sha512 shadownullok try_first_pass use_authtok remember=10g" /etc/ssh/sshd_config(3 )回退操作# cp /etc/pam.d/sshd.bak /etc/pam.d/sshd3.

12、5設置登陸系統(tǒng)賬戶超時自動退出登陸(1)設置登錄系統(tǒng)的賬號長時間不操作時自動登出修改系統(tǒng)環(huán)境變量配置文件/etc/profile,在文件的末尾加入”TMOUT=180:使 登錄系統(tǒng)的用戶三分鐘不操作系統(tǒng)時自動退出登錄。# echo TMOUT=180 >>/etc/profile(2)使配置生效執(zhí)行命令:# . /etc/profile# 或 source /etc/profile(3 )回退操作刪除在配置文件”/etc/profile ”中添加的”TMOUT=180',執(zhí)行命令./etc/profile 使配置生效。4系統(tǒng)安全加固4.1關(guān)閉系統(tǒng)中與系統(tǒng)正常運行、業(yè)務無關(guān)的

13、服務(1)查看系統(tǒng)中的所有服務及運行級別,并確定哪些服務是與系統(tǒng)的正常運行 及業(yè)務無關(guān)的服務。# chkconfig -list(2 )關(guān)閉系統(tǒng)中不用的服務# chkconfig servername off(3) 回退操作,如果意外關(guān)閉了與系統(tǒng)業(yè)務運行相關(guān)的服務,可將該服務開啟# chkconfig servername on4.2禁用“ CTRL+ALT+D”重啟系統(tǒng)(1)rhel6.x中禁用“ ctrl+alt+del”鍵重啟系統(tǒng)修改配置文件“ /etc/i ni t/co ntrol-alt-delete.co nf ”,注釋掉行“ start on control-alt-delet

14、e ”?;蛴?sed 命令修改:# sed -i "sstart on control-alt-delete#start on control-alt-deleteg" /etc/init/control-alt-delete.conf(2)rhel7.x中禁用“ ctrl+alt+del”鍵重啟系統(tǒng)修改配置文件 “/usr/lib/systemd/system/ctrl-alt-del.target ”,注釋掉所有內(nèi)容。(3)使修改的配置生效# init q4.3加密grub菜單1、加密 Redhat6.x grub菜單(1)備份配置文件 /boot/grub/grub.conf(2 )將密碼生成秘鑰K# grub-md5-cryptPassword:Retype password:(3)為grub加密修改配置文件 /boot/grub/grub.conf,在”timeout=5”行下加入 ”password -md5 $1$CgxdR/$9ipaqi8aVriEpF0 nvfd8X,$1$CgxdR/$9ipaqi8aVriEpF0 nvfd8X 為加密后 的密碼。頁腳內(nèi)容(4) 回退或者刪除加入行 ”password -md5 $1$CgxdR/$9ipaqi8aVriEpF0nvfd8”.2、加

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論