《2022年linux系统安全加固方案.docx》由会员分享,可在线阅读,更多相关《2022年linux系统安全加固方案.docx(9页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精品学习资源1 概述.-.1. -1.1 适用范畴 .-.1. -2 用户账户安全加固 .-.1. -2.1 修改用户密码策略-.1 -2.2 锁定或删除系统中与服务运行,运维无关的的用户.- 1 -2.3 锁定或删除系统中不使用的组 .- 2 -2.4 限制密码的最小长度 .- 2 -3 用户登录安全设置 .-.3. -3.1 禁止 root 用户远程登录-.3 -3.2 设置远程 ssh登录超时时间 .- 4 -3.3 设置当用户连续登录失败三次,锁定用户30 分钟-. 5 -3.4 设置用户不能使用最近五次使用过的密码-. 5 -3.5 设置登陆系统账户超时自动退出登陆.-. 6 -4
2、系统安全加固 .-.6. -4.1 关闭系统中与系统正常运行、业务无关的服务-. 6 -4.2 禁用“ CTRL+ALT+DE”L重启系统 .- 7 -4.3 加密 grub 菜单 .-.7. -欢迎下载精品学习资源1 概述1.1 适用范畴本方案适用于银视通信息科技linux主机安全加固, 供运维人员参考对linux主机进行安全加固;2 用户账户安全加固2.1 修改用户密码策略1修改前备份配置文件: /etc/login.defscp /etc/login.defs /etc/login.defs.bak2修改编辑配置文件: vi /etc/login.defs ,修改如下配置:PASS_MA
3、X_DAYS90用户的密码不过期最多的天数PASS_MIN_DAYS0密码修改之间最小的天数PASS_MIN_LEN8密码最小长度PASS_WARN_AGE7 口令失效前多少天开头通知用户更换密码3回退操作# cp /etc/login.defs.bak /etc/login.defs2.2 锁定或删除系统中与服务运行,运维无关的的用户1查看系统中的用户并确定无用的用户# more /etc/passwd2锁定不使用的账户锁定或删除用户依据自己的需求操作一项即可锁定不使用的账户:欢迎下载精品学习资源# usermod -L username或删除不使用的账户:# userdel -f user
4、name3回退操作用户锁定后当使用时可解除锁定,解除锁定命令为:# usermod -U username2.3 锁定或删除系统中不使用的组1操作前备份组配置文件 /etc/group# cp /etc/group /etc/group.bak2查看系统中的组并确定不使用的组# cat /etc/group( 3)删除或锁定不使用的组锁定不使用的组:修改组配置文件 /etc/group ,在不使用的组前加“ #”注释掉该组即可删除不使用的组:# groupdel groupname4回退操作# cp /etc/group.bak /etc/group2.4 限制密码的最小长度欢迎下载精品学习资
5、源(1) ) 操作前备份组配置文件 /etc/pam.d/system-auth# cp /etc/pam.d /etc/pam.d.bak(2) )设置密码的最小长度为 8修 改 配 置 文 件 /etc/pam.d,在 行 ”passwordrequisite pam_pwquality.sotry_first_passlocal_users_onlyretry=3 authtok_type= ”中添加“ minlen=8 ”,或使用 sed 修改:# sed -i s#passwordrequisitepam_pwquality.so try_first_pass local_users
6、_only retry=3 authtok_type=#passwordrequisite pam_pwquality.so try_first_pass local_users_only retry=3 minlen=8 authtok_type=#g /etc/pam.d/system-auth(3) )回退操作# cp /etc/pam.d.bak /etc/pam.d3 用户登录安全设置3.1 禁止 root 用户远程登录1修改前备份 ssh配置文件 /etc/ssh/sshd_conf# cp /etc/ssh/sshd_conf /etc/ssh/sshd_conf.bak2修改
7、ssh服务配置文件不答应 root 用户远程登录编辑/etc/ssh/sshd_config 找到“ #PermitRootLogin yes”去掉注释并修改为“ PermitRootLogin no”或者使用 sed 修改,修改命令为:# sed -i s#PermitRootLogin yesPermitRootLogin nog/etc/ssh/sshd_config3修改完成后重启 ssh服务Centos6.x为:欢迎下载精品学习资源# service sshd restartCentos7.x为:# systemctl restart sshd.service4回退操作# cp /e
8、tc/ssh/sshd_config.bak /etc/ssh/sshd_config3.2 设置远程 ssh登录超时时间1修改前备份 ssh服务配置文件 /etc/ssh/sshd_config# cp /etc/ssh/sshd_conf /etc/ssh/sshd_conf.bak2设置远程 ssh登录长时间不操作退出登录编辑 /etc/ssh/sshd_conf将”#ClientAliveInterval0”修改 为”ClientAliveInterval 180”,将” #ClientAliveCountMax 3去掉注”释,或执行如下命令:# sed -i s#ClientAliv
9、eInterval 0ClientAliveInterval 180g/etc/ssh/sshd_config# sed -i s#ClientAliveCountMax 3ClientAliveCountMax 3g/etc/ssh/sshd_config3配置完成后储存并重启 ssh服务Centos6.x为:# service sshd restartCentos7.x为:# systemctl restart sshd.service4回退操作欢迎下载精品学习资源# cp /etc/ssh/sshd_config.bak /etc/ssh/sshd_config3.3 设置当用户连续登录
10、失败三次,锁定用户30 分钟1配置前备份配置文件 /etc/pam.d/sshd# cp /etc/pam.d/sshd /etc/pam.d/sshd.bak2设置当用户连续输入密码三次时,锁定该用户30 分钟修改配置文件 /etc/pam.d/sshd, 在配置文件的其次行添加内容 :authrequiredpam_tally2.so deny=3 unlock_time=3003假设修改配置文件显现错误,回退即可,回退操作:# cp /etc/pam.d/sshd.bak /etc/pam.d/sshd3.4 设置用户不能使用最近五次使用过的密码1配置前备份配置文件 /etc/pam.d
11、/sshd# cp /etc/pam.d/system-auth /etc/pam.d/system-auth.bak2配置用户不能使用最近五次使用的密码修 改 配 置 文 件 /etc/pam.d/sshd,找 到 行 ”passwordsufficient欢迎下载精品学习资源pam_unix.so sha512 shadow nulloktry_first_pass use_authtok remember=10,或使用 sed 修改# sed -i s#passwordsufficientpam_unix.so sha512 shadow nullok try_first_pass us
12、e_authtokpasswordsufficientpam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=10g /etc/ssh/sshd_config3回退操作,”在最 后加入欢迎下载精品学习资源# cp /etc/pam.d/sshd.bak /etc/pam.d/sshd3.5 设置登陆系统账户超时自动退出登陆1设置登录系统的账号长时间不操作时自动登出修改系统环境变量配置文件/etc/profile, 在文件的末尾加入 ”TMOUT=18”0使,登录系统的用户三分钟不操作系统时自动退出登录;# ech
13、o TMOUT=180 /etc/profile2使配置生效执行命令:# . /etc/profile#或 source /etc/profile3回退操作删除在配置文件 ”/etc/profile 中添”加的 ”TMOUT=18”0,执行命令 . /etc/profile使配置生效;4 系统安全加固4.1 关闭系统中与系统正常运行、业务无关的服务1查看系统中的全部服务及运行级别,并确定哪些服务是与系统的正常运行及业务无关的服务;# chkconfig -list2关闭系统中不用的服务# chkconfig servername off3回退操作,假如意外关闭了与系统业务运行相关的服务,可将该
14、服务开启# chkconfig servername on欢迎下载精品学习资源4.2 禁用“ CTRL+ALT+D”EL重启系统1rhel6.x 中禁用“ ctrl+alt+del”键重启系统修改 配置 文件 “ /etc/init/control -alt -delete.conf ” , 注 释掉 行“ starton control-alt -delete ”;或用 sed 命令修改:# sed -i sstart on control-alt-delete#start on control-alt-deleteg/etc/init/control-alt-delete.conf2rhe
15、l7.x 中禁用“ ctrl+alt+del”键重启系统修改配置文件“/usr/lib/systemd/system/ctrl -alt-del.target”,注释掉全部内容;3使修改的配置生效# init q4.3 加密 grub 菜单1、加密 Redhat6.x grub 菜单( 1)备份配置文件 /boot/grub/grub.conf# cp /boot/grub/grub.conf /boot/grub/grub.conf.bak( 2)将密码生成秘钥# grub-md5-cryptPassword:Retype password:$1$nCPeR/$mUKEeqnBp8G.P.H
16、rrreus.(3) )为 grub 加密修改配置文件 /boot/grub/grub.conf, 在”timeout=5行”下加入 ”password-md5欢迎下载精品学习资源$1$CgxdR/$9ipaqi8aVriEpF0nvfd8x,.的密码;” $”1$CgxdR/$9ipaqi8aVriEpF0nvfd8为x.加密”后欢迎下载精品学习资源(4) )回退# cp /boot/grub/grub.conf /boot/grub/grub.conf.bak或者删除加入行 ”password-md5 $1$CgxdR/$9ipaqi8aVriEpF0nvfd8x.”2、加密 redhat7.xgrub 菜单1在”/etc/grub.d/00_header 文件”末尾,添加以下内容cat EOFset superusers=adminpassword admin qwe123E0F2重新编译生成 grub.cfg 文件# grub2-mkconfig -o /boot/grub2/grub.cfg(3 )回退操作删除 /etc/grub.d/00_header 中添加的内容,并重新编译生成grub.cfg 文件欢迎下载