1. 鎖定系統中多餘的自建帳號
檢查方法:
執行命令
#cat /etc/passwd
#cat /etc/shadow
檢視賬戶、口令檔案,與系統管理員確認不必要的賬號。對於一些保留的系統偽帳戶如:bin, sys,adm,uucp,lp, nuucp,hpdb, www, daemon等可根據需要鎖定登陸。
備份方法:
#cp -p /etc/passwd /etc/passwd_bak
#cp -p /etc/shadow /etc/shadow_bak
加固方法:
使用命令passwd -l 《使用者名稱》鎖定不必要的賬號。
使用命令passwd -u 《使用者名稱》解鎖需要恢復的賬號。
風險:需要與管理員確認此項操作不會影響到業務系統的登入
2. 設定系統口令策略
檢查方法:
使用命令
#cat /etc/ pass檢視密碼策略設定
備份方法:
cp -p /etc/ /etc/加固方法:
#vi /etc/修改配置檔案
pass_max_days 90 #新建使用者的密碼最長使用天數
pass_min_days 0 #新建使用者的密碼最短使用天數
pass_warn_age 7 #新建使用者的密碼到期提前提醒天數
pass_min_len 8 #最小密碼長度9
注:如果需要單獨對某個使用者密碼不限制最長時間,使用命令
passwd –x 99999 使用者名稱;或者passwd –x -1 使用者名稱
風險:無可見風險
3. 禁用root之外的超級使用者
檢查方法:
#cat /etc/passwd 檢視口令檔案,口令檔案格式如下:
login_name:password:user_id:group_id:comment:home_dir:command
login_name:使用者名稱
password:加密後的使用者密碼
user_id:使用者id,(1 ~ 6000) 若使用者id=0,則該使用者擁有超級使用者的許可權。檢視此處是否有多個id=0。
group_id:使用者組id
comment:使用者全名或其它注釋資訊
home_dir:使用者根目錄
command:使用者登入後的執行命令
備份方法:
#cp -p /etc/passwd /etc/passwd_bak
加固方法:
使用命令passwd -l 《使用者名稱》鎖定不必要的超級賬戶。
使用命令passwd -u 《使用者名稱》解鎖需要恢復的超級賬戶。
風險:需要與管理員確認此超級使用者的用途。
4. 檢查shadow中空口令帳號
檢查方法:
# awk -f: '($2print $1 }' /etc/shadow
備份方法:cp -p /etc/shadow /etc/shadow_bak
加固方法:對空口令賬號進行鎖定(passwd –l 使用者名稱),或要求增加密碼.
注:當新增加賬號還沒有設定密碼的時候,該賬號預設為鎖定狀態。
風險:要確認空口令賬戶是否和應用關聯,增加密碼是否會引起應用無法連線。
5. 設定合理的初始檔案許可權
檢查方法:
#cat /etc/profile 檢視umask的值
備份方法:
#cp -p /etc/profile /etc/profile_bak
加固方法:
#vi /etc/profile
umask 022
風險:會修改新建檔案的預設許可權為(644),如果該伺服器是web應用,則此項謹慎修改。
6. 設定訪問控制策略限制能夠管理本機的ip位址
檢查方法:
#cat /etc/ssh/sshd_config 檢視有無allowusers的語句
備份方法:
#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak
加固方法:
#vi /etc/ssh/sshd_config,新增以下語句
allowusers *@10.138.*.* 此句意為:僅允許10.138.0.0/16網段所有使用者通過ssh訪問
儲存後重啟ssh服務
#service sshd restart
風險:需要和管理員確認能夠管理的ip段
7. 禁止root使用者遠端登陸
檢查方法:
#cat /etc/ssh/sshd_config 檢視permitrootlogin是否為no
備份方法:
#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak
加固方法:
#vi /etc/ssh/sshd_config
permitrootlogin no
儲存後重啟ssh服務
service sshd restart
風險:root使用者無法直接遠端登入,需要用普通賬號登陸後su
8. 限定信任主機
檢查方法:
#cat /etc/hosts.equiv 檢視其中的主機
#cat /$home/.rhosts 檢視其中的主機
備份方法:
#cp -p /etc/hosts.equiv /etc/hosts.equiv_bak
#cp -p /$home/.rhosts /$home/.rhosts_bak
加固方法:
#vi /etc/hosts.equiv 刪除其中不必要的主機
#vi /$home/.rhosts 刪除其中不必要的主機
風險:在多機互備的環境中,需要保留其他主機的ip可信任。
9. 遮蔽登入banner資訊
檢查方法:
#cat /etc/ssh/sshd_config 檢視檔案中是否存在banner欄位,或banner欄位為none
#cat /etc/motd 檢視檔案內容,該處內容將作為banner資訊顯示給登入使用者。
備份方法:
#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak
#cp -p /etc/motd /etc/motd_bak
加固方法:
#vi /etc/ssh/sshd_config
banner none
#vi /etc/motd
刪除全部內容或更新成自己想要新增的內容
風險:無可見風險
10. 防止誤使用ctrl+alt+del重啟系統
檢查方法:
#cat /etc/inittab|grep ctrlaltdel 檢視輸入行是否被注釋
備份方法:
#cp -p /etc/inittab /etc/inittab_bak
加固方法:
#vi /etc/inittab
在行開頭新增注釋符號「#」
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now
風險:無可見風險
11. 禁止ping命令
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all ##注:如果是0的話是允許ping的。
還有另外一種方法:
修改/etc/sysconfig/iptables檔案:
-a rh-firewall-1-input -p icmp --icmp-type any -j drop
12. 修改帳戶tmout值,設定自動登出時間
檢查方法:
#cat /etc/profile 檢視有無tmout的設定
備份方法:
#cp -p /etc/profile /etc/profile_bak
加固方法:
#vi /etc/profile
增加tmout=600 無操作600秒後自動退出
風險:無可見風險
13. 設定bash保留歷史命令的條數
檢查方法:
#cat /etc/profile|grep histsize=
#cat /etc/profile|grep histfilesize= 檢視保留歷史命令的條數
備份方法:
#cp -p /etc/profile /etc/profile_bak
加固方法:
#vi /etc/profile
修改histsize=20即保留最新執行的20條命令
風險:無可見風險
概括linux系統安全設定的方法
學習linux作業系統時,你可能會遇到linux系統安全問題,這裡將介紹linux系統安全問題的解決方法,包含有取消不必要的服務 限制系統的出入等技術。linux作為開放式的作業系統受到很多程式設計師的喜愛,很多高階程式設計師都喜歡編寫linux作業系統的相關軟體。這使得linux作業系統有著豐富的...
提公升系統安全保障措施
1 概述 我礦現有的主井絞車jtk系列 屬於第三批淘汰產品,目前我礦已制定出更換計畫,由於各種原因照成準運證過期。在新的準運證頒發以前,為保障提公升絞車的執行安全,根據我礦的實際情況,特制定本安全保障措施。2 工作原則 堅持 安全第 一 預防為主 的原則。加強提公升系統的安全管理,突出對突發事故的預...
安全監測系統安全保障措施
蔚州公司興源礦 安全監控系統 安全 保障措施 二零一一年 一 為確保煤礦安全監控系統安全 可靠 正常的執行,充分發揮安全保障作用,制定本系統安全保障措施。二 礦井通風安全監控裝置的使用管理必須嚴格執行礦下發的 通風安全監控系統維護使用管理辦法 三 煤礦安全監控系統24小時值班制度,每班至少2人。工作...