网络安全渗透测试与防护 课件12.Linux 系统安全加固要求

Linux系统安全加固要求Linux系统安全加固的四个方面目录Linux系统安全加固1、从账户口令方面对Linux系统进行安全加固安全加固项目说明账户口令安全禁用不需要的系统账号检查系统账号和口令，禁止使用空口令账号检查系统账号和口令，检查是否存在UID为0的账号设置账号超时自动注销限制root远程登录系统密码策略应符合必要强度Linux系统安全加固检查项执行命令加固措施列出空密码账号sudoawk-F“:”‘($2==””){print$1}’/etc/shadow删除不必要帐户并修改空密码或者简单密码为复杂密码。列出uid为0的账号sudoawk-F“:”‘($3==0){print$1}’/etc/passwd如果非必要仅保留root用户的uid为0检查账号超时自动注销cat/etc/profile|grepTMOUT如输出为空，说明未设置。sudovi/etc/profile在其中增加exportTMOUT=600限制root用户远程登录more/etc/securetty的console参数sudovi/etc/securetty在其中配置：console=/dev/tty01Linux系统安全加固2、从系统服务安全方面对Linux系统进行安全加固安全加固项说明系统服务安全禁用或删除不必要的服务及时更新和修补操作系统及服务的软件版本Linux系统安全加固检查项ubuntu系列RedHat系列检查及停止系统服务service--status-all//检查serviceservice-namestop//停止systemctllist-unit-files//检查systemctlstopname.service//停止更新系统服务版本apt-getupgrade<软件包名称>yumupdate<软件包名称>Linux系统安全加固3、从文件系统安全方面对Linux系统进行安全加固安全加固项说明文件系统安全检查系统umask设置检查关键文件的属性，把重要文件加上不可修改属性检查关键文件的权限Linux系统安全加固检查项执行命令加固措施检查系统umask设置cat/etc/profile|grepumask使用命令“sudovi/etc/profile”修改配置文件，将umask022修改为umask027，即新创建的文件属主读写执行权限，同组用户读和执行权限，其他用户无权限。检查关键文件的属性把重要文件加上不可修改属性sudochattr+i/etc/passwdsudochattr+i/etc/shadowsudochattr+i/etc/gshadowsudochattr+i/etc/group检查关键文件的权限ls–la/etc/shadowls–la/etc/xinetd.confls–la/etc/grub.confchmod+400/etc/shadowchomd+600/etc/xinetd.confchomd+600/etc/grub.confLinux系统安全加固4、从日志审核方面对Linux系统进行安全加固安全加固项说明日志审核应该开启日志审核功能Linux系统安全加固检查项ubuntu系列RedHat系列检查方法servicesyslog