好消息 :
1、生命動力10盒送1盒!2、卡圖巴.肽素食3盒700元! 3、壯丁丁2盒起300元/盒。
好消息 :
一. 賬戶安全
1.1 鎖定系統(tǒng)中多余的自建帳號
檢查方法:
執(zhí)行命令
#cat /etc/passwd
#cat /etc/shadow
查看賬戶、口令文件,與系統(tǒng)管理員確認(rèn)不必要的賬號。對于一些保留的系統(tǒng)偽帳戶如:bin, sys,adm,uucp,lp, nuucp,hpdb, www, daemon等可根據(jù)需要鎖定登陸。
備份方法:
#cp -p /etc/passwd /etc/passwd_bak
#cp -p /etc/shadow /etc/shadow_bak
加固方法:
使用命令passwd -l <用戶名>鎖定不必要的賬號。
使用命令passwd -u <用戶名>解鎖需要恢復(fù)的賬號。
1.2設(shè)置系統(tǒng)口令策略
檢查方法:
使用命令
#cat /etc/login.defs|grep PASS查看密碼策略設(shè)置
備份方法:
cp -p /etc/login.defs /etc/login.defs_bak
加固方法:
#vi /etc/login.defs修改配置文件
PASS_MAX_DAYS 90 #新建用戶的密碼最長使用天數(shù)
PASS_MIN_DAYS 0 #新建用戶的密碼最短使用天數(shù)
PASS_WARN_AGE 7 #新建用戶的密碼到期提前提醒天數(shù)
PASS_MIN_LEN 9 #最小密碼長度9
1.3禁用root之外的超級用戶
檢查方法:
#cat /etc/passwd 查看口令文件,口令文件格式如下:
login_name:password:user_ID:group_ID:comment:home_dir:command
login_name:用戶名
password:加密后的用戶密碼
user_ID:用戶ID,(1 ~ 6000) 若用戶ID=0,則該用戶擁有超級用戶的權(quán)限。查看此處是否有多個ID=0。
group_ID:用戶組ID
comment:用戶全名或其它注釋信息
home_dir:用戶根目錄
command:用戶登錄后的執(zhí)行命令
備份方法:
#cp -p /etc/passwd /etc/passwd_bak
加固方法:
使用命令passwd -l <用戶名>鎖定不必要的超級賬戶。
使用命令passwd -u <用戶名>解鎖需要恢復(fù)的超級賬戶。
1.4 限制能夠su為root的用戶
檢查方法:
#cat /etc/pam.d/su,查看是否有auth required /lib/security/pam_wheel.so這樣的配置條目
備份方法:#cp -p /etc/pam.d /etc/pam.d_bak
加固方法:
#vi /etc/pam.d/su
在頭部添加:
auth required /lib/security/pam_wheel.so group=wheel
這樣,只有wheel組的用戶可以su到root
#usermod -G10 test 將test用戶加入到wheel組
當(dāng)系統(tǒng)驗(yàn)證出現(xiàn)問題時,首先應(yīng)當(dāng)檢查/var/log/messages或者/var/log/secure中的輸出信息,根據(jù)這些信息判斷用戶賬號的有效性。如果是因?yàn)镻AM驗(yàn)證故障,而引起root也無法登錄,只能使用single user或者rescue模式進(jìn)行排錯。
1.5 多次登錄失敗鎖定
當(dāng)用戶試圖登陸多次失敗后,鎖定此用戶(su or login 5次失敗鎖定)
在文件/etc/pam.d/system-auth中配置:
auth requisite pam_tally.so per_user onerr=fail deny=4 unlock_time=3600
注:超過4次錯誤就會lock user,為了防止拒絕服務(wù)攻擊,加入per_user參數(shù)
二、最小化服務(wù)
2.1 停止或禁用與承載業(yè)務(wù)無關(guān)的服務(wù)
檢查方法:
#who –r或runlevel 查看當(dāng)前init級別
#chkconfig --list 查看所有服務(wù)的狀態(tài)
備份方法:記錄需要關(guān)閉服務(wù)的名稱
加固方法:
#chkconfig --level <服務(wù)名> on|off|reset 設(shè)置服務(wù)在個init級別下開機(jī)是否啟動
三、數(shù)據(jù)訪問控制
3.1 設(shè)置合理的初始文件權(quán)限
檢查方法:
#cat /etc/profile 查看umask的值
備份方法:
#cp -p /etc/profile /etc/profile_bak
加固方法:
#vi /etc/profile
umask=027
四、網(wǎng)絡(luò)訪問控制
4.1 使用SSH進(jìn)行管理
檢查方法:
#ps –aef | grep sshd 查看有無此服務(wù)
備份方法:
加固方法:
使用命令開啟ssh服務(wù)
#service sshd start
禁止root登陸: PermitRootLogin: no
修改端口:ListenAddress: 8888
限制登錄ip:
在/etc/hosts.allow添加允許ip,(其中192.168.0.11是你要允許登陸ssh的ip,或者 是一個網(wǎng)段192.168.0.0/24)
sshd:192.168.0.11:allow 在/etc/hosts.deny添加,(表示除了上面允許的,其他的ip 都拒絕登陸ssh) sshd:ALL
key方式登錄:
ssh還可以設(shè)定public key的方式登錄,生成一對key,把public key上傳到服務(wù)器,這樣利用public key和private key認(rèn)證方式來登錄會更安全;
4.2 設(shè)置訪問控制策略限制能夠管理本機(jī)的IP地址
檢查方法:
#cat /etc/ssh/sshd_config 查看有無AllowUsers的語句
備份方法:
#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak
加固方法:
#vi /etc/ssh/sshd_config,添加以下語句
AllowUsers *@10.138.*.* 此句意為:僅允許10.138.0.0/16網(wǎng)段所有用戶通過ssh訪問
保存后重啟ssh服務(wù)
#service sshd restart
4.3 禁止root用戶遠(yuǎn)程登陸
檢查方法:
#cat /etc/ssh/sshd_config 查看PermitRootLogin是否為no
備份方法:
#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak
加固方法:
#vi /etc/ssh/sshd_config
PermitRootLogin no
保存后重啟ssh服務(wù)
service sshd restart
4.4 限定信任主機(jī)
檢查方法:
#cat /etc/hosts.equiv 查看其中的主機(jī)
#cat /$HOME/.rhosts 查看其中的主機(jī)
備份方法:
#cp -p /etc/hosts.equiv /etc/hosts.equiv_bak
#cp -p /$HOME/.rhosts /$HOME/.rhosts_bak
加固方法:
#vi /etc/hosts.equiv 刪除其中不必要的主機(jī)
#vi /$HOME/.rhosts 刪除其中不必要的主機(jī)
風(fēng)險:在多機(jī)互備的環(huán)境中,需要保留其他主機(jī)的IP可信任。
4.5 屏蔽登錄banner信息
檢查方法:
#cat /etc/ssh/sshd_config 查看文件中是否存在Banner字段,或banner字段為NONE
#cat /etc/motd 查看文件內(nèi)容,該處內(nèi)容將作為banner信息顯示給登錄用戶。
備份方法:
#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak
#cp -p /etc/motd /etc/motd_bak
加固方法:
#vi /etc/ssh/sshd_config
banner NONE
#vi /etc/motd
刪除全部內(nèi)容或更新成自己想要添加的內(nèi)容
4.6 防止誤使用Ctrl+Alt+Del重啟系統(tǒng)
檢查方法:
#cat /etc/inittab|grep ctrlaltdel 查看輸入行是否被注釋
備份方法:
#cp -p /etc/inittab /etc/inittab_bak
加固方法:
#vi /etc/inittab
在行開頭添加注釋符號“#”
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now
五、用戶鑒別
5.1 設(shè)置帳戶鎖定登錄失敗鎖定次數(shù)、鎖定時間
檢查方法:
#cat /etc/pam.d/system-auth 查看有無auth required pam_tally.so條目的設(shè)置
備份方法:
#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak
加固方法:
#vi /etc/pam.d/system-auth
auth required pam_tally.so onerr=fail deny=6 unlock_time=300 設(shè)置為密碼連續(xù)錯誤6次鎖定,鎖定時間300秒
解鎖用戶 faillog -u <用戶名> -r
風(fēng)險:需要PAM包的支持;對pam文件的修改應(yīng)仔細(xì)檢查,一旦出現(xiàn)錯誤會導(dǎo)致無法登陸;
當(dāng)系統(tǒng)驗(yàn)證出現(xiàn)問題時,首先應(yīng)當(dāng)檢查/var/log/messages或者/var/log/secure中的輸出信息,根據(jù)這些信息判斷用戶賬號的有效性。
5.2 修改帳戶TMOUT值,設(shè)置自動注銷時間
檢查方法:
#cat /etc/profile 查看有無TMOUT的設(shè)置
備份方法:
#cp -p /etc/profile /etc/profile_bak
加固方法:
#vi /etc/profile
增加
TMOUT=600 無操作600秒后自動退出
風(fēng)險:無可見風(fēng)險
5.3 Grub/Lilo密碼
檢查方法:
#cat /etc/grub.conf|grep password 查看grub是否設(shè)置密碼
#cat /etc/lilo.conf|grep password 查看lilo是否設(shè)置密碼
備份方法:
#cp -p /etc/grub.conf /etc/grub.conf_bak
#cp -p /etc/lilo.conf /etc/lilo.conf_bak
加固方法:為grub或lilo設(shè)置密碼
風(fēng)險:etc/grub.conf通常會鏈接到/boot/grub/grub.conf
5.4 限制FTP登錄
檢查方法:
#cat /etc/ftpusers 確認(rèn)是否包含用戶名,這些用戶名不允許登錄FTP服務(wù)
備份方法:
#cp -p /etc/ftpusers /etc/ftpusers_bak
加固方法:
#vi /etc/ftpusers 添加行,每行包含一個用戶名,添加的用戶將被禁止登錄FTP服務(wù)
風(fēng)險:無可見風(fēng)險
5.5 設(shè)置Bash保留歷史命令的條數(shù)
檢查方法:
#cat /etc/profile|grep HISTSIZE=
#cat /etc/profile|grep HISTFILESIZE= 查看保留歷史命令的條數(shù)
備份方法:
#cp -p /etc/profile /etc/profile_bak
加固方法:
#vi /etc/profile
修改HISTSIZE=5和HISTFILESIZE=5即保留最新執(zhí)行的5條命令
六、審計(jì)策略
6.1 配置系統(tǒng)日志策略配置文件
檢查方法:
#ps –aef | grep syslog 確認(rèn)syslog是否啟用
#cat /etc/syslog.conf 查看syslogd的配置,并確認(rèn)日志文件是否存在
系統(tǒng)日志(默認(rèn))/var/log/messages
cron日志(默認(rèn))/var/log/cron
安全日志(默認(rèn))/var/log/secure
備份方法:
#cp -p /etc/syslog.conf
6.2 為審計(jì)產(chǎn)生的數(shù)據(jù)分配合理的存儲空間和存儲時間
檢查方法:
#cat /etc/logrotate.conf 查看系統(tǒng)輪詢配置,有無
# rotate log files weekly
weekly
# keep 4 weeks worth of backlogs
rotate 4 的配置
備份方法:
#cp -p /etc/logrotate.conf /etc/logrotate.conf_bak
加固方法:
#vi /etc/logrotate.d/syslog
增加
rotate 4 日志文件保存?zhèn)數(shù)為4,當(dāng)?shù)?個產(chǎn)生后,刪除最早的日志
size 100k 每個日志的大小
加固后應(yīng)類似如下內(nèi)容:
/var/log/syslog/*_log {undefined
missingok
notifempty
size 100k # log files will be rotated when they grow bigger that 100k.
rotate 5 # will keep the logs for 5 weeks.
compress # log files will be compressed.
sharedscripts
postrotate
/etc/init.d/syslog condrestart >/dev/null 2>1 || true
endscript
}
投稿:請發(fā)郵箱 ruomao#hotmail.com (#換成@)
刪稿:本站內(nèi)容部分為會員轉(zhuǎn)載,如需要刪除請發(fā)至編輯郵箱處理!
建議:本站是養(yǎng)生門戶網(wǎng),分享的產(chǎn)品大多是食品為主,不能代替藥物。有一定的調(diào)理作用,但不保證每個人食用后有同樣的效果。分享的案例均轉(zhuǎn)自互聯(lián)網(wǎng),如您有大病,建議您去看醫(yī)生!我們理念是當(dāng)下就要養(yǎng)生!
上一篇: 收藏! Linux 服務(wù)器必備的安全設(shè)置
下一篇: 返回列表
