《linux系统安全系统安全常规优化培训讲学.doc》由会员分享,可在线阅读,更多相关《linux系统安全系统安全常规优化培训讲学.doc(9页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Good is good, but better carries it.精益求精,善益求善。linux系统安全系统安全常规优化-linux系统安全系统安全常规优化用户账号安全优化1禁用(锁定)zhangsan用户用passwdlroots2#passwd-lzhangsanLockingpasswordforuserzhangsan.passwd:Success或者直接修改shadow文件,密码字符串前加!roots2#vi/etc/shadowzhangsan:!:14724:0:99999:7:2、将不需要使用终端的用户的登录shell改为/sbin/nologinroots2#vi/et
2、c/passwdzhangsan:x:500:500:/home/zhangsan:/sbin/nologin或者roots2#usermod-s/sbin/nologinzhangsan3限制用户的密码有效期PASS_MAX_DAYS30/只对新建立的用户有效或者roots2#chage-M30zhangsan/只对已存在的用户有效4、指定用户在下次登录时必须修改密码roots2#chage-d0zhangsan或者zhangsan:!:0:0:30:7:第三列改为05、限制密码的最小长度roots2#vi/etc/pam.d/system-authpasswordrequisitepam_
3、cracklib.sotry_first_passretry=36、限制记录命令历史的条数roots2#vi/etc/profileHISTSIZE=10007、设置超时自动注销终端roots2#vi/etc/profileTMOUT=600使用su切换用户身份8、如何拒绝使用su切换用户roots2#vi/etc/pam.d/suauthrequiredpam_wheel.souse_uid9、允许zhangsan使用su切换用户roots2#gpasswd-azhangsanwheelAddinguserzhangsantogroupwheel使用sudo提升执行权限1、授权用户jerry
4、可以以root权限执行ifconfig名jerryALL=/sbin/ifconfig用户主机=命令绝对路径2、通过别名定义一组命令,并授权tom用户可以使用改组命令Cmnd_AliasSYSVCTRL=/sbin/service,/bin/kill,/bin/killalltomALL=SYSVCTRL3、授权wheel组的用户不需验证密码即可执行名令%wheelALL=(ALL)NOPASSWD:ALL*代表通配符!表示取反4、为sudo启用日志功能,将记录写入/var/log/sudo文件中Defaultslogfile=/var/log/sudolocal2.debug/var/log
5、/sudo修改系统日志配置文件roots2#servicesyslogrestart/重启syslog系统服务Shuttingdownkernellogger:OKShuttingdownsystemlogger:OKStartingsystemlogger:OKStartingkernellogger:OK5、使用sudo执行命令tom查看自己被授权使用命令,并使用sudo执行命令toms2$sudo-lPassword:Usertommayrunthefollowingcommandsonthishost:(root)/sbin/servicetoms2$sudo/sbin/service
6、httpdstart文件和文件系统安全优化1、锁定不希望改改的系统文件roots2#chattr+i/etc/services/etc/passwd/boot/grub/grub.conf2、解除/etc/passwd文件中的+i属性锁定roots2#chattr-i/etc/passwd3、关闭不必要的系统服务roots2#servicebluetoothstoproots2#chkconfigbluetoothoff4、禁止普通用户执行init.d目录中的脚本roots2#chmod-Ro-rwx/etc/init.d/或者roots2#chmod750/etc/init.d/5、禁止普通
7、用户执行poweroff、hallt、reboot控制台程序roots2console.apps#tar-jcpvf/etc/conhlp.pw.tar.bz2poweroffhaltreboot-removepoweroffhaltreboot6、查找系统中设置了set-uid或set-gid权限的文件,并结合”-exec”选项显示这些文件的详细权限属性。roots2console.apps#find/-typef-perm+600-execls-lh;7、去除程序文件的suid/sgid为权限drwsr-sr-t2rootroot4096Mar1818:20aaroots2#chmoda-
8、saa系统引导和登录安全优化1、阻止用户通过Ctrl+Alt+Delroots2#vi/etc/inittab#ca:ctrlaltdel:/sbin/shutdown-t3-rnow2、在grup.conf文件中设置明文密码roots2#vi/boot/grub/grub.confdefault=0timeout=5splashimage=(hd0,0)/grub/splash.xpm.gzhiddenmenupassword123456titleRedHatEnterpriseLinuxServer(2.6.18-8.el5)root(hd0,0)kernel/vmlinuz-2.6.18
9、-8.el5roroot=/dev/VolGroup00/LogVol00rhgbquietinitrd/initrd-2.6.18-8.el5.img3、在grup.cof文件中设置md5加密的密码字符串roots2#grub-md5-cryptPassword:Retypepassword:$1$x.20Z0$hY6SYWzlbDBnir./dS87o0roots2#vi/boot/grub/grub.confdefault=0timeout=5splashimage=(hd0,0)/grub/splash.xpm.gzhiddenmenupassword$1$x.20Z0$hY6SYWz
10、lbDBnir./dS87o0titleRedHatEnterpriseLinuxServer(2.6.18-8.el5)root(hd0,0)kernel/vmlinuz-2.6.18-8.el5roroot=/dev/VolGroup00/LogVol00rhgbquietinitrd/initrd-2.6.18-8.el5.img4、禁用tty4-tty6终端roots2#vi/etc/inittab1:2345:respawn:/sbin/mingettytty12:2345:respawn:/sbin/mingettytty23:2345:respawn:/sbin/mingetty
11、tty3#4:2345:respawn:/sbin/mingettytty4#5:2345:respawn:/sbin/mingettytty5#6:2345:respawn:/sbin/mingettytty65、禁止root用户从tty2-tty3终端roots2#vi/etc/securetty#tty2#tty36、将登录提示内容修改为“WelcometoServer”roots2#vi/etc/issueWelcometoServer7、禁止除了root以外的用户从tty1终端上登录系统roots2#vi/etc/pam.d/loginaccountrequiredpam_access.so/在pam配置文件login中添加认证支持roots2#vi/etc/security/access.conf-:ALLEXCEPTroot:tty18、禁止root用户从192.168.1.0/24网络登录roots2#vi/etc/pam.d/sshdaccountrequiredpam_access.so/添加pam配置文件sshd中添加认证支持roots2#vi/etc/security/access.conf-:root:192.168.1.0/24-