linux系统安全加固方法_第1页
linux系统安全加固方法_第2页
linux系统安全加固方法_第3页
已阅读5页,还剩4页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、1.1 适用范围 -.1-2用户账户安全加固 -1-2.1修改用户密码策略 :.1-2.2锁定或删除系统中与服务运行,运维无关的的用户 :1-2.3锁定或删除系统中不使用的组 -.2-2.4限制密码的最小长度 -.2-3用户登录安全设置 -3 -3.1禁止root用户远程登录 -.3 -3.2设置远程ssh登录超时时间 .-.4 -3.3设置当用户连续登录失败三次,锁定用户30分钟 -5 -3.4设置用户不能使用最近五次使用过的密码 .-.5 -3.5设置登陆系统账户超时自动退出登陆 -.6 -4系统安全加固 -6 -4.1关闭系统中与系统正常运行、业务无关的服务 .-6 -4.2 禁用“ C

2、TRL+ALT+DEL重启系统 7-4.3 加密 grub 菜单.7-1概述1.1适用范围linux本方案适用于银视通信息科技有限公司linux主机安全加固,供运维人员参考对主机进行安全加固。2用户账户安全加固2.1修改用户密码策略(1 )修改前备份配置文件:/etc/logi n.defs(2)修改编辑配置文件:vi /etc/login.defs,修改如下配置:PASS_MAX_DAYS 90 (用户的密码不过期最多的天数)PASS_MIN_DAYS 0 (密码修改之间最小的天数)PASS_MIN_LEN 8(密码最小长度)PASS_WARN_AGE 7 ( 口令失效前多少天开始通知用户更

3、改密码)*(3)回退操作2.2锁定或删除系统中与服务运行,运维无关的的用户(1 )查看系统中的用户并确定无用的用户# more /etc/passwd(2)锁定不使用的账户(锁定或删除用户根据自己的需求操作一项即可)锁定不使用的账户:或删除不使用的账户:# userdel -f username(3 )回退操作用户锁定后当使用时可解除锁定,解除锁定命令为:# usermod -U username2.3锁定或删除系统中不使用的组(1) 操作前备份组配置文件/etc/group# cp /etc/group /etc/group.bak(2) 查看系统中的组并确定不使用的组# cat /etc/

4、group(3 )删除或锁定不使用的组锁定不使用的组:修改组配置文件/etc/group,在不使用的组前加“ #”注释掉该组即可删除不使用的组:# groupdel groupname(4 )回退操作# cp /etc/group.bak /etc/group2.4限制密码的最小长度页脚内容(1) 操作前备份组配置文件/etc/pam.d/system-auth(2) 设置密码的最小长度为8修改配置文件 /etc/pam.d,在行” password requisitepam_pwquality.so try_first_pass local_users_o nly retry=3authto

5、k_type= ”中添加“ minlen=8 ”,或使用 sed 修改:# sed -i "s#password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=#password requisite pam_pwquality.so try_first_pass local_users_only retry=3 minlen=8 authtok_type=#g" /etc/pam.d/system-auth(3)回退操作3用户登录安全设置3.1禁止root用户远

6、程登录(1) 修改前备份ssh配置文件/etc/ssh/sshd_conf# cp /etc/ssh/sshd_conf /etc/ssh/sshd_conf.bakn_II(2) 修改ssh服务配置文件不允许root用户远程登录编辑 /etc/ssh/sshd_config 找到“ #PermitRootLogin yes 去掉注释并修改为“PermitRootLogin no”或者使用sed修改,修改命令为:# sed -i "s#PermitRootLogin yesPermitRootLogin nog"/etc/ssh/sshd_config(3)修改完成后重启s

7、sh服务Ce ntos6.x 为:# service sshd restartCen tos7.x 为:# systemctl restart sshd.service(4 )回退操作# cp /etc/ssh/sshd_config.bak /etc/ssh/sshd_config3.2设置远程ssh登录超时时间(1) 修改前备份ssh服务配置文件/etc/ssh/sshd_config# cp /etc/ssh/sshd_conf /etc/ssh/sshd_conf.bak(2) 设置远程ssh登录长时间不操作退出登录编辑/etc/ssh/sshd_conf 将” #ClientAliv

8、elnterval 0修改为” ClientAlivelnterval180”,将” #ClientAliveCountMax去掉注释,或执行如下命令:# sed -i "s#ClientAlivelnterval OClientAlivelnterval 180g"/etc/ssh/sshd_config# sed -i "s#ClientAliveCountMax 3ClientAliveCountMax 3g"/etc/ssh/sshd_config(3) 配置完成后保存并重启ssh服务Ce ntos6.x 为:# service sshd res

9、tartCen tos7.x 为:# systemctl restart sshd.service(4 )回退操作# cp /etc/ssh/sshd_config.bak /etc/ssh/sshd_config3.3设置当用户连续登录失败三次,锁定用户30分钟(1)配置前备份配置文件/etc/pam.d/sshd# cp /etc/pam.d/sshd /etc/pam.d/sshd.bak(2)设置当用户连续输入密码三次时,锁定该用户30分钟修改配置文件/etc/pam.d/sshd,在配置文件的第二行添加内容:勺auth required pam_tally2.so deny=3 un

10、lock_time=300(3)若修改配置文件出现错误,回退即可,回退操作:# cp /etc/pam.d/sshd.bak /etc/pam.d/sshd3.4设置用户不能使用最近五次使用过的密码(1)配置前备份配置文件/etc/pam.d/sshd# cp /etc/pam.d/system-auth /etc/pam.d/system-auth.bak(2)配置用户不能使用最近五次使用的密码修改配置文件 /etc/pam.d/sshd,找到行 ” passwordsufficientpam_ uni x.so sha512 shadow n ullok try_first_pass us

11、e_authtok,在最后加入”remember=10,或使用 sed修改# sed -i "s#password sufficient pam_unix.so sha512 shadow nulloktry_first_pass use_authtokpassword sufficient pam_unix.so sha512 shadownullok try_first_pass use_authtok remember=10g" /etc/ssh/sshd_config(3 )回退操作# cp /etc/pam.d/sshd.bak /etc/pam.d/sshd3.

12、5设置登陆系统账户超时自动退出登陆(1)设置登录系统的账号长时间不操作时自动登出修改系统环境变量配置文件/etc/profile,在文件的末尾加入”TMOUT=180:使 登录系统的用户三分钟不操作系统时自动退出登录。# echo TMOUT=180 >>/etc/profile(2)使配置生效执行命令:# . /etc/profile# 或 source /etc/profile(3 )回退操作删除在配置文件”/etc/profile ”中添加的”TMOUT=180',执行命令./etc/profile 使配置生效。4系统安全加固4.1关闭系统中与系统正常运行、业务无关的

13、服务(1)查看系统中的所有服务及运行级别,并确定哪些服务是与系统的正常运行 及业务无关的服务。# chkconfig -list(2 )关闭系统中不用的服务# chkconfig servername off(3) 回退操作,如果意外关闭了与系统业务运行相关的服务,可将该服务开启# chkconfig servername on4.2禁用“ CTRL+ALT+D”重启系统(1)rhel6.x中禁用“ ctrl+alt+del”键重启系统修改配置文件“ /etc/i ni t/co ntrol-alt-delete.co nf ”,注释掉行“ start on control-alt-delet

14、e ”。或用 sed 命令修改:# sed -i "sstart on control-alt-delete#start on control-alt-deleteg" /etc/init/control-alt-delete.conf(2)rhel7.x中禁用“ ctrl+alt+del”键重启系统修改配置文件 “/usr/lib/systemd/system/ctrl-alt-del.target ”,注释掉所有内容。(3)使修改的配置生效# init q4.3加密grub菜单1、加密 Redhat6.x grub菜单(1)备份配置文件 /boot/grub/grub.conf(2 )将密码生成秘钥K# grub-md5-cryptPassword:Retype password:(3)为grub加密修改配置文件 /boot/grub/grub.conf,在”timeout=5”行下加入 ”password -md5 $1$CgxdR/$9ipaqi8aVriEpF0 nvfd8X,$1$CgxdR/$9ipaqi8aVriEpF0 nvfd8X 为加密后 的密码。页脚内容(4) 回退或者删除加入行 ”password -md5 $1$CgxdR/$9ipaqi8aVriEpF0nvfd8”.2、加

人人文库> 全部分类> 教育资料 > 课件下载

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论