Linux安全加固手册

1  身份鉴别

1.1   密码安全策略

操作系统和数据库系统管理用户身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换。

设置有效的密码策略,防止攻击者破解出密码

1)查看空口令账号并为弱/空口令账号设置强密码

# awk -F: '($2 == ''){print $1}' /etc/shadow

可用离线破解、暴力字典破解或者密码网站查询出账号密钥的密码是否是弱口令

2)修改vi /etc/login.defs配置密码周期策略

此策略只对策略实施后所创建的账号生效, 以前的账号还是按99999天周期时间来算。

3)/etc/pam.d/system-auth配置密码复杂度:

在文件中添加如下一行:

password requisite  pam_cracklib.so retry=3 difok=2 minlen=8 lcredit=-1 dcredit=-1

参数含义如下所示:

difok:本次密码与上次密码至少不同字符数

minlen:密码最小长度,此配置优先于login.defs中的PASS_MAX_DAYS

ucredit:最少大写字母

lcredit:最少小写字母

dcredit:最少数字

retry:重试多少次后返回密码修改错误

【注】用root修改其他账号都不受密码周期及复杂度配置的影响。

1.2   登录失败策略

应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。

遭遇密码破解时,暂时锁定账号,降低密码被猜解的可能性

1)方法一:/etc/pam.d/login中设定控制台;/etc/pam.d/sshd中设定SSH

/etc/pam.d/sshd中第二行添加下列信息

auth required pam_tally2.so deny=5 lock_time=2 even_deny_root unlock_time=60

###########参数解释############

查看用户登录失败次数

# pam_tally2 --user root

解锁用户

# pam_tally2 -r -u root

even_deny_root    也限制root用户(默认配置就锁定root账号);   
deny     设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户   
unlock_time     设定普通用户锁定后,多少时间后解锁,单位是秒;

root_unlock_time      设定root用户锁定后,多少时间后解锁,单位是秒;

1.3 安全的远程管理方式

当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。

防止远程管理过程中,密码等敏感信息被窃听

执行如下语句,查看telnet服务是否在运行

禁止telnet运行,禁止开机启动,如下图:

2  访问控制

应及时删除多余的、过期的帐户,避免共享帐户的存在。

删除或禁用临时、过期及可疑的账号,防止被非法利用。

主要是管理员创建的普通账号,如:test

# usermod -L user 禁用账号,账号无法登录,/etc/shadow第二栏显示为!开头

# userdel user 删除user用户

# userdel -r user将删除user用户,并且将/home目录下的user目录一并删除

加固后如图

3  安全审计

3.1   审核策略开启

审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;

开启审核策略,若日后系统出现故障、安全事故则可以查看系统日志文件,排除故障、追查入侵者的信息等。

查看rsyslog与auditd服务是否开启

rsyslog一般都会开启,auditd如没开启,执行如下命令:

# systemctl start auditd

auditd服务开机启动

# systemctl start auditd

3.2   日志属性设置

应保护审计记录,避免受到未预期的删除、修改或覆盖等。

防止重要日志信息被覆盖

让日志文件转储一个月,保留6个月的信息,先查看目前配置,

# more /etc/logrotate.conf | grep -v '^#\|^$'

需要修改配置为下图所示:

4  入侵防御

操作系统遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。

关闭与系统业务无关或不必要的服务,减小系统被黑客被攻击、渗透的风险。

禁用蓝牙服务

# systemctl stop bluetooth

禁止蓝牙开机启动

5  系统资源控制

5.1   访问控制

应通过设定终端接入方式、网络地址范围等条件限制终端登录。

对接入服务器的IP、方式等进行限制,可以阻止非法入侵。

1) 在/etc/hosts.allow和/etc/hosts.deny文件中配置接入限制

最好的策略就是阻止所有的主机在“/etc/hosts.deny”文件中加入“ ALL:ALL@ALL, PARANOID ”,然后再在“/etc/hosts.allow” 文件中加入所有允许访问的主机列表。如下操作:

编辑 hosts.deny文件(vi /etc/hosts.deny),加入下面该行:

# Deny access to everyone. ALL: ALL@ALL, PARANOID

编辑hosts.allow 文件(vi /etc/hosts.allow),加入允许访问的主机列表,比如:

ftp: 202.54.15.99 foo.com    //202.54.15.99是允许访问 ftp 服务的 IP 地址

//foo.com 是允许访问 ftp 服务的主机名称。

2) 也可以用iptables进行访问控制

5.2    超时锁定

应根据安全策略设置登录终端的操作超时锁定。

设置登录超时时间,释放系统资源,也提高服务器的安全性。

/etc/profile中添加如下一行

exprot TMOUT=900 //15分钟# source /etc/profile

改变这项设置后,必须先注销用户,再用该用户登录才能激活这个功能。

如果有需要,开启屏幕保护功能

设置屏幕保护:设置 -> 系统设置 -> 屏幕保护程序,进行操作

6   最佳经验实践

对Linux系统的安全性提升有一定帮助。

6.1   DOS攻击防御

防止拒绝服务攻击

TCP SYN保护机制等设置

1)打开 syncookie:

# echo“1”>/proc/sys/net/ipv4/tcp_syncookies  //默认为1,一般不用设置

表示开启SYN Cookies。当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN攻击,默认为0,表示关闭;

2)防syn 攻击优化

用vi编辑/etc/sysctl.conf,添加如下行:

net.ipv4.tcp_max_syn_backlog = 2048

进入SYN包的最大请求队列.默认1024.对重负载服务器,增加该值显然有好处.可调整到2048.

6.2   历史命令

为历史的命令增加登录的IP地址、执行命令时间等

1)保存1万条命令

# sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile

2)在/etc/profile的文件尾部添加如下行数配置信息:

USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}' |sed -e 's/[()]//g'`if [ '$USER_IP' = '' ]thenUSER_IP=`hostname`fiexport HISTTIMEFORMAT='%F %T $USER_IP `whoami` 'shopt -s histappendexport PROMPT_COMMAND='history -a'

##source /etc/profile让配置生效

~ end ~

(0)

相关推荐

  • Ubuntu18 root账号自动登陆

    https://blog.csdn.net/qq_38196234/article/details/89558855 1.设置root密码 sudo passwd root 根据提示输入密码(此时输入 ...

  • Debian应用-第四部分-Linux下PAM模块学习总结

    在Linux中执行有些程序时,这些程序在执行前首先要对启动它的用户进行认证,符合一定的要求之后才允许执行,例如login, su等.在Linux中进行身份或是状态的验证程序是由PAM来进行的,PAM( ...

  • linux设置ssh登录次数限制

    linux设置ssh登录次数限制

  • Linux 系统加固规范 | 周末送资料

    以下内容来自网络,相关版权归原作者所有 1 账户管理.认证授权 2 日志配置 3 通信协议 4 设备其他安全要求

  • linux安全加固

    linux安全加固

  • iw linux 命令 在线中文手册

    iw 相关命令: iwconfig iw 是一种新的基于 nl80211 的用于无线设备的CLI配置实用程序.它支持最近已添加到内核所有新的驱动程序.采用无线扩展接口的旧工具iwconfig已被废弃, ...

  • (4条消息) Linux 基础操作、常用shell命令、vi常用命令、man帮助手册

    一.简述 记录简单的Linux 基础操作.常用shell命令.vi编辑器常用命令.man帮助手册的使用. 二.Linux 基础操作 1.按 Ctrl+Alt+t 快捷键或者双击桌面的"Ter ...

  • Linux系统常用命令速查手册,建议打印

    系统信息 arch      #显示机器的处理器架构(1) uname -m  #显示机器的处理器架构(2) uname -r  #显示正在使用的内核版本 dmidecode -q         # ...

  • 安全加固之Linux&Solaris

    文章来源:自安全鸭 一.Linux安全加固常见查询命令 1.应按照不同的用户分配不同的账号.避免不同用户间共享账号.避免用户账号和设备间通信使用的账号共享 cat /etc/passwd# 不同的用户 ...

  • Nginx安全加固配置手册

    第1章   概述 1.1   目标 Nginx(发音同engine x)是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,由俄罗斯的程序设计师Igor Sysoev ...

  • Linux系统一键检测和加固脚本

    主要是为了Linux系统的安全,通过脚本对Linux系统进行一键检测和一键加固. Check_Script #包含2个文件 CentOS_Check_Script.sh README.txt 操作说明 ...

  • Linux&Windows基线检查加固脚本

    首先是Linux的shell加固脚本 #!/bin/bash#设置密码复杂度if [ -z '`cat /etc/pam.d/system-auth | grep -v '^#' | grep 'pa ...