设为首页收藏本站
开启辅助访问

Linux 系统安全加固

 您所在的位置:网站首页 苏州限行区域开车怎么处罚 Linux 系统安全加固

Linux 系统安全加固

2023-09-09 22:17| 来源: 网络整理| 查看: 265

centos7 安全加固

目录

centos7 系统安全加固方案

一.密码长度与有效期 二.密码复杂度 三.新口令不能与4个最近使用的相同 四.设置会话超时(5分钟) 五.设置history命令时间戳 六.设置登陆失败锁定 七.禁止root通过ssh远程登录 八.SSH 配置参数增强 九.设置SSH登录警告语 十.设置umask值 十一.禁止Control-Alt-Delete 键盘重启系统命令 十二. 隐藏系统版本信息 十三.设置grup密码 十四.最大文件打开数(文件句柄数) 十五.用户最大进程数 十六.系统参数调优 Linux安全加固手册 1 身份鉴别 1.1 安全的远程管理方式 2 访问控制 3 安全审计 3.1 审核策略开启 3.2 日志属性设置 4 入侵防御 5 系统资源控制 5.1 访问控制 5.2 超时锁定 6 最佳经验实践 6.1 DOS攻击防御 6.2 历史命令

一.密码长度与有效期 默认配置: cat /etc/login.defs |grep PASS_ |grep -v '#'

PASS_MAX_DAYS 99999

PASS_MIN_DAYS 0

PASS_MIN_LEN 5

PASS_WARN_AGE 7

加固方案: 1.备份配置文件: cp -a /etc/login.defs /etc/login.defs.default 2.编辑配置文件并将相关参数改成如下 vim /etc/login.defs ​PASS_MAX_DAYS 90PASS_MIN_DAYS 6​PASS_MIN_LEN 8PASS_WARN_AGE 30 备注:

/etc/login.defs文件的pass_min_len 参数并不具备强制性,测试仍然可以设置7位密码。最终需要cracklib来实现。

参数说明:

PASS_MAX_DAYS 密码有效期

PASS_MIN_DAYS 修改密码的最短期限

PASS_MIN_LEN 密码最短长度

PASS_WARN_AGE 密码过期提醒

二.密码复杂度 默认配置: cat /etc/pam.d/system-auth | grep "pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type="

password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=

加固方案: 1.备份配置文件: cp -a /etc/pam.d/system-auth /etc/pam.d/system-auth.default 2.编辑配置文件 vim /etc/pam.d/system-auth

password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=

注释并在其下面新增1行

password requisite pam_cracklib.so try_first_pass minlen=8 difok=5 dcredit=-1 lcredit=-1 ocredit=-1 retry=1 type= 3.保存配置文件 备注:

try_first_pass而当pam_unix验证模块与password验证类型一起使用时,该选项主要用来防止用户新设定的密码与以前的旧密码相同。

minlen=8:最小长度8位

difok=5:新、旧密码最少5个字符不同

dcredit=-1:最少1个数字

lcredit=-1:最少1个小写字符,(ucredit=-1:最少1个大写字符)

ocredit=-1:最少1个特殊字符

retry=1:1次错误后返回错误信息

type=xxx:此选项用来修改缺省的密码提示文本

三.新口令不能与4个最近使用的相同 默认配置: cat /etc/pam.d/system-auth |grep use_authtok

ssword sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok

加固方案: 1.备份配置文件 2.编辑配置文件: vim /etc/pam.d/system-auth

在password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok 所在行的后面添加

member=5

3.保存配置文件 备注:

记住5个历史密码

四.设置会话超时(5分钟) 默认配置:

加固方案: 1.备份配置文件: cp -a /etc/profile /etc/profile.default 2.编辑配置文件: vi /etc/profile

在文件的末尾添加参数

port TMOUT=300

3.保存配置文件 备注: 五分钟无操作中断登录会话 五.设置history命令时间戳 默认配置:

加固方案: 1.备份配置文件:

2.编辑配置文件: vi /etc/profile

在文件的末尾添加参数

export HISTTIMEFORMAT="%F %T ‘whoami’ "

3.保存配置文件 六.设置登陆失败锁定 (只能限定终端登录,图形界面依然可以登录) 默认配置:

加固方案: 1.备份配置文件 1)方法一: /etc/pam.d/login中设定控制台;/etc/pam.d/sshd中设定SSH/etc/pam.d/sshd中第二行添加下列信息 在这里插入图片描述 在这里插入图片描述

###########参数解释############

查看用户登录失败次数

# pam_tally2 --user root

解锁用户

# pam_tally2 -r -u root

even_deny_root 也限制root用户(默认配置就锁定root帐号); deny 设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户 unlock_time 设定普通用户锁定后,多少时间后解锁,单位是秒;

root_unlock_time 设定root用户锁定后,多少时间后解锁,单位是秒;

2)、方法二编辑配置文件: vim /etc/pam.d/system-auth

在# User changes will be destroyed the next time authconfig is run.行的下面,添加

auth required pam_tally2.so deny=5 unlock_time=1800 even_deny_root root_unlock_time=1800

3.保存配置文件 备注:

通过终端登录,5次登录失败后锁定账号30分钟,锁定期间此账号无法再次登录。

七.禁止root通过ssh远程登录 默认配置: \# cat /etc/ssh/sshd_config |grep PermitRootLogin

#PermitRootLogin yes

加固方案: 1.备份配置文件 cp -a /etc/ssh/sshd_config /etc/ssh/sshd_config.default 2.编辑配置文件 vim /etc/ssh/sshd_config

将配置参数#PermitRootLogin yes改成PermitRootLogin no

3.保存配置文件 4.重启ssh服务 /etc/init.d/sshd restart 八.SSH 配置参数增强 1.备份配置文件 2.编辑配置文件 vim /etc/ssh/sshd_config (1)禁止空密码登录

将#PermitEmptyPasswords no参数的注释符号去掉,改成

PermitEmptyPasswords no

(2)关闭ssh的tcp转发

将#AllowTcpForwarding yes参数改成

AllowTcpForwarding no

(3)关闭S/KEY(质疑-应答)认证方式

将#ChallengeResponseAuthentication yes参数,改成

ChallengeResponseAuthentication no

(4)关闭基于GSSAPI 的用户认证

将GSSAPIAuthentication yes参数,改成

GSSAPIAuthentication no

3.保存配置文件 4.重启ssh服务 九.设置SSH登录警告语 默认配置:

加固方案: 1.备份配置文件

# 略

2.编辑配置文件 vim /etc/ssh/sshd_config

找到#Banner none参数,在其下一行,增加

Banner /etc/ssh/alert

3.保存配置文件 4新增告警信息文件. vim /etc/ssh/alert

文件内容,设置成

******************************************************* 这里的内容自己定义,可以提示一下登录的用户引起运维人员重视 Warning!!!Any Access Without Permission Is Forbidden!!! ******************************************************* 5.保存后重启ssh服务 systenctl restart sshd 十.设置umask值 默认配置:

# umask

0022

加固方案: 1.备份配置文件 cp -a /etc/bashrc /etc/bashrc.default 2.编辑配置文件 vim /etc/bashrc

在文件末尾增加参数

umask 027

3.保存配置文件 4. 备份配置文件 cp -a /etc/profile /etc/pr ofile.default 5.编辑配置文件 vim /etc/profile

在文件末尾增加参数

umask 027

6.保存配置文件

备注:

将umask值设置成0027,用于拿掉新增目录与文件的非所有者和所有者所属组的访问权限

默认:

新增目录权限755,即 rxwr-xr-x

新增文件权限644,即 rw-r–r—

加固后:

新增目录权限750,即 rxwr-x—

新增文件权限640,即 rw-r-----

十一.禁止Control-Alt-Delete 键盘重启系统命令 默认配置: ls /usr/lib/systemd/system/ctrl-alt-del.target 加固方案: 1.备份配置文件 cp -a /usr/lib/systemd/system/ctrl-alt-del.target /usr/lib/systemd/system/ctrl-alt-del.target.default 2.移除该原源文件 rm -rf /usr/lib/systemd/system/ctrl-alt-del.target 十二. 隐藏系统版本信息 默认配置: 加固方案:

执行以下命令:

mv /etc/issue /etc/issue.bak mv /etc/issue.net /etc/issue.net.bak

备注:登录界面显示系统版本信息

十三.设置grup密码 默认配置:

加固方案: 1.备份配置文件 cp -a /etc/grub.d/00_header /etc/grub.d/00_header.default 2.使用grub2-mkpasswd-pbkdf2 加密

使用grub2-mkpasswd-pbkdf2 加密密码(密码自己定义,但是一定得保存好否则最后连自己都登录不进去)

操作进行GRUB加密码的2种方式 密文密码 [root@localhost ~]# grub2-mkpasswd-pbkdf2 Enter password: Reenter password: PBKDF2 hash of your password is grub.pbkdf2.sha512.10000.B157F42E96462AB239C03000F113D32EB18FD48073F1FC7D8F87A8F3B3F89F662424ECCAB901F3A812A997E547FD520F3E99D0E080F4FE8B05E019757E34F75B.29C83F87B4B6C086FC9A81E046CC3623CC5CF2F82128EDC3A0364894E429D4993B28563F82D71BF346188108CBD4341FC4A71B90E543581646B4E7EAE920C54A 3.添加以下配置到该文件的最后面 (特别需要注意 用户名root和密文之间是空格分隔,而不是换行) cat


【本文地址】


今日新闻

推荐新闻

CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3