




已阅读5页,还剩4页未读, 继续免费阅读
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
Redhat Linux 安全加固 文档编号 密级 版本编号 日期目录一.系统信息3二.账号3三.服务6四.文件系统8五.日志9一.系统信息查看内核信息uname -a查看所有软件包rpm -qa查看主机名hostname查看网络配置ifconfig -a查看路由表netstat -rn查看开放端口netstat -an查看当前进程ps -aux二.账号2.1 禁用无用账号操作目的减少系统无用账号,降低风险检查方法使用命令“cat /etc/passwd”查看口令文件,与系统管理员确认不必要 的账号FTP 等服务的账号,如果不需要登录系统,shell 应该/sbin/nologin加固方法使用命令“passwd -l ”锁定不必要的账号 使用命令“passwd -u ”解锁不必要的账号是否实施备注需要与管理员确认此项操作不会影响到业务系统的登录2.2 检查特殊账号操作目的查看空口令和 root 权限的账号检查方法使用命令“awk -F: ($2=) /etc/shadow”查看空口令账号 使用命令“awk -F: ($3=0) /etc/passwd”查看 UID 为零的账号加固方法使用命令“passwd”为空口令账号设定密码 UID 为零的账号应该只有 root是否实施备注2.3 添加口令策略操作目的加强口令的复杂度等,降低被猜解的可能性检查方法使用命令“cat /etc/login.defs|grep PASS”和“cat/etc/pam.d/system-auth”查看密码策略设置加固方法1,使用命令“vi /etc/login.defs”修改配置文件 PASS_MAX_DAYS90#新建用户的密码最长使用天数PASS_MIN_DAYS0#新建用户的密码最短使用天数PASS_WARN_AGE7#新建用户的密码到期提前提醒天数 使用 chage 命令修改用户设置,例如:chage -m 0 -M 30 -E 2000-01-01 -W 7 表示:将此用户的密码最长使用天数设为 30,最短使用天数设为 0,密 码 2000 年 1 月 1 日过期,过期前 7 天里警告用户2,设置连续输错 3 次密码,账号锁定 5 分钟,使用命令“vi /etc/pam.d/ system-auth”修改配置文件,添加auth required pam_tally.so onerr=fail deny=3 unlock_time=300注:解锁用户 faillog-u-r是否实施备注锁定用户功能谨慎使用,密码策略对 root 不生效2.4 检查 Grub/Lilo 密码操作目的查看系统引导管理器是否设置密码检查方法使用命令“cat /etc/grub.conf|grep password”查看 grub 是否设置密码 使用命令“cat /etc/lilo.conf|grep password”查看 lilo 是否设置密码加固方法为 grub 或 lilo 设置密码是否实施备注2.5 限制 FTP 登录操作目的禁止不必要的用户登录 FTP 服务,降低风险检查方法使用命令“cat /etc/ftpusers”查看配置文件,确认是否包含用户名,这 些用户名不允许登录 FTP 服务加固方法使用命令“vi /etc/ftpusers”修改配置文件,添加行,每行包含一个用户 名,禁止此用户登录 FTP 服务是否实施备注2.6 限制用户 su操作目的限制能 su 到 root 的用户检查方法使用命令“cat /etc/pam.d/su|grep pam_wheel.so”查看配置文件,确认 是否有相关限制加固方法需要在 test 组里加入允许 su 到 root 的用户 使用命令“vi /etc/pam.d/su”修改配置文件,添加行 例如:只允许 test 组用户 su 到 rootauthrequiredpam_wheel.so group=test是否实施备注三.服务3.1 关闭不必要的服务操作目的关闭不必要的服务(普通服务和 xinetd 服务),降低风险检查方法使用命令“who -r”查看当前 init 级别使用命令“chkconfig -list ”查看所有服务的状态加固方法使用命令“chkconfig -level on|off|reset”设置服 务在个 init 级别下开机是否启动是否实施备注新版本的 Linux 中,xinetd 已经将 inetd 取代3.2 检查 SSH 服务操作目的对 SSH 服务进行安全检查检查方法使用命令“cat /etc/ssh/sshd_config”查看配置文件(1)检查是否允许 root 直接登录 检查“PermitRootLogin ”的值是否为 no(2)检查 SSH 使用的协议版本 检查“Protocol”的值(3)检查允许密码错误次数(默认 6 次),超过后断开连接 检查“MaxAuthTries”的值加固方法使用命令“vi /etc/ssh/sshd_config”编辑配置文件(1)不允许 root 直接登录 设置“PermitRootLogin ”的值为 no(2)修改 SSH 使用的协议版本 设置“Protocol”的版本为 2(3)修改允许密码错误次数(默认 6 次)设置“MaxAuthTries”的值为 3是否实施备注root 用户需要使用普通用户远程登录后 su 进行系统管理3.3 检查.rhosts 和/etc/hosts.equiv 文件操作目的检查.rhosts 和/etc/hosts.equiv 文件配置错误将导致非授权的访问检查方法1)使用“find / -name .rhosts -print”查找.rhosts 文件,若.rhosts 文件 中包含远程主机名,则代表允许该主机通过 rlogin 等方式登录本机;如 果包含两个加号,代表任何主机都可以无需用户名口令登录本机(2)使用“cat /etc/hosts.equiv”查看配置文件,若包含远程主机名, 则代表允许该主机远程登录本机加固方法使用命令“vi .rhosts”和“vi /etc/hosts.equiv”修改配置文件,正确进 行授权是否实施备注3.4 限制 Ctrl+Alt+Del 命令操作目的防止误使用 Ctrl+Alt+Del 重启系统检查方法使用命令“cat /etc/inittab|grep ctrlaltdel”查看输入行是否被注释加固方法先使用命令“vi /etc/inittab”编辑配置文件,在行开头添加注释符号“#”#ca:ctrlaltdel:/sbin/shutdown -t3 -r now,再使用命令“init q”应用设置是否实施备注3.5 查看 NFS 共享操作目的查看 NFS 共享检查方法使用命令“exportfs”查看 NFS 输出的共享目录加固方法使用命令“vi /etc/exports”编辑配置文件,删除不必要的共享是否实施备注四.文件系统4.1 设置 UMASK 值操作目的设置默认的 UMASK 值,增强安全性检查方法使用命令“umask”查看默认的 UMASK 值是否为 027加固方法使用命令“vi /etc/profile”修改配置文件,添加行“UMASK027”, 即新创建的文件属主读写执行权限,同组用户读和执行权限,其他用户无 权限,使用命令“umask 027”应用设置是否实施备注4.2 Bash 历史命令操作目的设置 Bash 保留历史命令的条数检查方法使用命令“cat /etc/profile|grep HISTSIZE=”和“cat /etc/profile|grep HISTFILESIZE=”查看保留历史命令的条数加固方法使用命令“vi /etc/profile”修改配置文件,修改 HISTSIZE=5 和HISTFILESIZE=5 即保留最新执行的 5 条命令是否实施备注4.3 设置登录超时操作目的设置系统登录后,连接超时时间,增强安全性检查方法使用命令“cat /etc/profile |grep TMOUT”查看 TMOUT 是否被设置加固方法使用命令“vi /etc/profile”修改配置文件,添加“TMOUT=”行开头的 注释,设置为“TMOUT=180”,即超时
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2025版海洋工程电工劳务分包施工合同
- 2025年度高端艺术展布展服务合同书
- 2025版酒店酒店用品物流配送及仓储服务合同范本
- 二零二五年度食品加工设备订货协议
- 2025版电子商务平台技术升级改造合同
- 2025年房贷债务离婚协议样本:债务清偿与分割方案
- 二零二五年度个人股东股权激励与员工持股计划协议
- 2025版新媒体运营实习合同协议书-实战技能提升
- 二零二五年度特色民宿买卖合同范本
- 心理健康英文课件
- 应聘人员申请表
- 齐鲁医学口腔一般检查
- 基坑爆破开挖安全专项施工方案
- 关心下一代工作先进工作者事迹
- 广西壮族自治区桂林市各县区乡镇行政村村庄村名明细居民村民委员会
- 脉动真空压力蒸汽灭菌器故障应急预案流程
- 诉讼费退费确认表
- 食品企业客诉处理培训
- 雷达操作与模拟器
- 中压电缆载流量、电容、电感、电抗参数表
- 吹填工程施工组织设计
评论
0/150
提交评论