linux系統加固

常規安全配置

 

重要目錄和文件權限：合理配置重要目錄和文件權限，加強安全性

檢查方法：使用ls -l命令查看目錄和文件的權限設置狀況

加固方法：對於重要目錄，建議執行相似操做 chmod -R 750 /etc/rc.d/init.d/*  這樣除了root可讀，寫，執行這個目錄下的腳本

 

umask值

操做目的：設置默認的umask值，加強安全性

檢查方法：使用umask查看umask值是否爲027

加固方法：使用命令 vim /etc/profile 添加umask 027 即新建立的文件屬主讀寫執行權限，同組用戶讀和執行權限，其餘用戶無權限。使用命令umask 027應用設置

 

bash歷史命令

操做目的：設置bash保留歷史命令的條數

檢查方法：使用 cat /etc/profile|查看HISTSIZE 和 HISTFILESIZE 查看保留歷史命令的條數

加固方法：vim /etc/profile 修改配置文件

HISTSIZE=5  即保留5條命令

 

登錄超時

操做目的：設置系統登錄後，鏈接超時時間，加強安全性

檢查方法：使用命令 cat /etc/profile | grep TMOUT 查看tmout是否被設置

加固方法：vim /etc/profile 修改配置文件，把TMOUT設置爲180 即超時時間爲3分鐘

 

 

root路徑

操做目的：檢查系統root用戶環境變量path設置中是否包含 「  .  」

檢查方法：root用戶環境變量path中不該包含當前目錄 「 . 」，以root身份執行命令：#echo $PATH /usr/local:/sbin:/bin:/usr/bin:/root/bin:.

加固方法：vim /etc/profile 修改echo $PATH後面的路徑

 

 

禁用無用帳號

操做目的：減小無用帳號，下降風險

檢查方法：使用 cat /etc/passwd 查看口令文件，確認沒必要要的帳號。沒必要要的帳號，shell應該sbin/nologin

加固方法：使用passwd -l user 鎖定沒必要要的帳號

 

 

帳號策略

操做目的：防止口令暴力破解，下降風險

檢查方法：使用命令 cat /etc/pam.d/system-auth 查看配置文件

加固方法：設置連續輸錯3次密碼帳號鎖定2小時，vim /etc/pam.d/system-auth 修改配置文件

auth required pam_tally.so onerr=fail deny=3 unlock_time=7200

 

 

檢查特殊帳號

操做目的：查看空口令和root權限的帳號

檢查方法：使用命令 awk -F:'($3==0)'/etc/passwd 查看uid爲0的帳號

　　　　　　　　     awk -F:'($2=="")'/etc/shadow 查看空口令帳號

加固方法：使用命令 passwd user 爲空口令帳號設定密碼，uid爲0的帳號應該只有root 使用usermod -u uid user

 

 

口令週期策略

操做目的：增強口令的複雜度，下降被猜解的可能性

檢查方法：使用命令 cat /etc/login.defs | grep PASS 和 cat /etc/pam.d/system-auth 查看密碼策略

加固方法：vim /etc/login.defs 修改配置文件

PASS_MAX_DAYS   60  新建用戶的密碼最長使用天數
PASS_MIN_DAYS   0     新建用戶的密碼最短使用天數
PASS_WARN_AGE   7   新建用戶的密碼到期提早提醒天數

或 chage -m 0 -M 30 -E 2020-01-01- -W user（將user用戶的密碼長度設爲30天，最短提醒天數爲0 帳號2020年1月1號過時，過時前7天警告用戶）

 

 

 

口令複雜度策略

操做目的：增強口令的複雜程度，下降被猜解的可能性

檢查方法：使用命令 cat /etc/pam.d/system-auth | grep pam_cracklib.so 查看密碼複雜度策略設置

加固方法：建議在/etc/pam.d/system-auth文件中配置：password requisite pam_cracklib.so difok=3 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 至少八位。包含一位大寫字母，一位小寫字母和一位數字

 

 

限制root遠程登錄

操做目的：限制root遠程telnet登錄

檢查方法：檢查方法 cat /etc/ssh/sshd_config  查看PermitRootLogin是否爲no

加固方法：編輯文件 vim /etc/ssh/sshd_config

　　　　　　　PermitRootLogin no不容許root登錄

　　　　　　    Protocol 2 修改ssh使用的協議版本

　　　　　　    MaxAuthTries 3 修改容許密碼錯誤次數

                        或echo "tty1" > /etc/securetty

                        chmod 700 /root

 

限制可以su爲root的用戶

操做目的：檢查是否使用pam認證模塊禁止wheel組以外的用戶su爲root

檢查方法：cat /etc/pam.d/su,查看是否有auth required /lib/security/pam_wheel.so這樣的配置條目

加固方法：vim /etc/pam.d/su

　　　　  在頭部添加 auth required /lib/security/pam_wheel.so group=wheel

 

 

檢查Grub/Lilo密碼

操做目的：查看系統引導管理器是否設置密碼

檢查方法：  cat /etc/grub.conf|grep password    查看grub是否設置密碼

 　　　　　cat /etc/lilo.conf|grep password    查看lilo是否設置密碼

加固方法：爲grub或lilo設置密碼（風險：etc/grub.conf一般會連接到/boot/grub/grub.conf）

                 vim /etc/grub.conf 添加一行 password --md5 密碼

                 vim /etc/lilo.conf password=密碼

 

 

弱口令審計

操做目的：檢查系統弱口令

檢查方法：john /etc/shadow --single  john /etc/shadow --wordlist=pass.dic

加固方法：使用passwd 用戶 命令爲用戶設置複雜的密碼

 

 

NFS共享

使用exportfs查看NFS輸出的共享目錄。使用vim /etc/exports編輯配置文件，刪除沒必要要的共享

 

 

限制crtl+alt+del命令

操做目的：防止使用crtl+alt+del重啓系統

檢查方法：cat /etc/init/control-alt-delete.conf

加固方法：vim /etc/init/control-alt-delete.conf 註釋兩行代碼

 

禁ping

echo 0 > /proc/sys/net/ipv4/icmp_echo_igore_all

 

 

後門檢測工具

Rootkit Hunter(http://rkhunter.sourceforge.net/)

解壓後安裝 ./installer.sh --layout default --install

rkhunter --check 檢測命令（自動檢測）

 

友情連接  http://www.cnblogs.com/klionsec

                http://www.cnblogs.com/l0cm

                http://www.cnblogs.com/Anonyaptxxx

                http://www.feiyusafe.cn