cvmachine.com - 申博开户网

查找: 您的方位主页 > 电脑频道 > 电脑教程 > 阅览资讯:Linux主机安全装备

Linux主机安全装备

2019-03-30 14:43:37 来历:www.cvmachine.com 【
  1. 安全装备标准
    1. 身份辨别
      1. 账号检查

安全装备编号

操作体系--LINUX--装备-1

装备称号

用户账号分配检查,避免同享账号存在

装备要求内容

1、体系需依照实践用户分配账号;

2、避免不同用户间同享账号,避免用户账号和服务器间通讯运用的账号同享。

操作攻略

参阅装备操作:

cat /etc/passwd检查当时一切用户的状况;

装备办法

如需树立用户,参阅如下:

#useradd username #创立账号

#passwd username #设置暗码

运用该指令为不同的用户分配不同的账号,设置不同的口令及权限信息等。

适用版别

中标软linux

危险提示

回退操作

补白

 

      1. 剩余账户承认战略

安全装备编号

操作体系LINUX装备-2

装备称号

剩余账户承认战略

装备要求内容

应承认与设备运转、保护等作业无关的账号。

操作攻略

参阅装备操作:

检查承认用户:

# cat /etc/password,检查哪些账户的shell域中为nologin;

装备办法

承认用户:

l修正/etc/password文件,将需求承认的用户的shell域设为nologin;

l或经过#passwd –l username承认账户;

只要具有超级用户权限的运用者方可运用#passwd –l username承认用户,用#passwd –d username解锁后原有暗码失效,登录需输入新暗码。

弥补操作阐明:

一般状况下,需求承认的用户:lp,nuucp,hpdb,www,demon

适用版别

中标软

危险提示

剖析运用程序所运用的账号,承认账号稳重。

回退操作

人工装备

# cat /etc/password,检查哪些账户的shell域中为

补白

 

      1. root账户长途登录约束

安全装备编号

操作体系--LINUX--装备-3

装备称号

root账户长途登录账户约束

装备要求内容

1、约束具有超级办理员权限的用户长途登录。

2、长途履行办理员权限操作,应先以一般权限用户长途登录后,再切换到超级办理员权限账号后履行相应操作。

操作攻略

运用root账户长途测验登陆

检查办法

1、root长途登录不成功,提示“Not on system console”;

2、一般用户能够登录成功,并且能够切换到root用户;

装备办法

修正/etc/ssh/sshd_config文件,将PermitRootLogin yes改为PermitRootLogin no,重启sshd服务。

适用版别

中标软Linux

危险提示

回退操作

修正/etc/ssh/sshd_config文件,将PermitRootLogin no改为PermitRootLogin yes,重启sshd服务。

补白

长途履行办理员权限操作,应先以一般权限用户长途登录后,再切换到超级办理员权限账号后履行相应操作

      1. 口令复杂度战略

安全装备编号

操作体系LINUX装备-4

装备称号

操作体系口令复杂度战略

装备要求内容

口令长度至少12位,并包含数字、小写字母、大写字母和特别符号。

操作攻略

  1. 参阅装备操作

# cat /etc/pam.d/system-auth,找到password模块接口的装备部分,找到相似如下的装备行:

password requisite /lib/security/$ISA/pam_cracklib.so minlen =6

2、弥补操作阐明

参数阐明如下:

1、retry=N,承认用户创立暗码时答应重试的次数;

2、minlen=N,承认暗码最小长度要求,事实上,在默许装备下,此参数代表暗码最小长度为N-1;

3、dcredit=N,当N小于0时,代表新暗码中数字字符数量不得少于(-N)个。例如,dcredit=-2代表暗码中要至少包含两个数字字符;

4、ucredit=N,当N小于0时,代表则新暗码中大写字符数量不得少于(-N)个;

5、lcredit=N,当N小于0时,代表则新暗码中小写字符数量不得少于(-N)个;

6、ocredit=N,当N小于0时,代表则新暗码中特别字符数量不得少于(-N)个;

装备办法

# vi /etc/pam.d/system-auth,找到password模块接口的装备部分,依照装备要求内容修正对应特点。

适用版别

中标软Linux

危险提示

回退操作

参阅装备办法,依据实践状况修正参数。

补白

 

      1. 登录失利处理战略

安全装备编号

操作体系--LINUX--装备-5

装备称号

登录失利处理战略

装备要求内容

需求进行相关装备,避免体系被暴力破解

操作攻略

主张依照如下办法进行账号及口令安全战略的装备,修正/etc/pam.d/system-auth文件,将相应的字段修正为以下内容:

auth required pam_tally.so deny=5 unlock_time=20

(以上仅对施行完这条战略后,新增加的用户有用)

适用版别

一切

危险提示

回退操作

加固前创立备份目录,依照日期命名:(不必重复创立)

mkdir /root/backup20160229

将需求修正的装备文件仿制保存在备份目录:

cp /etc/pam.d/system-auth /root/backup20160229/

需求回退的时分将修正前的备份文件掩盖回装备文件即可:

  1. cp /root/backup20160229/system-auth /etc/pam.d/system-auth

补白

 

 

      1. 口令最长生存期战略

安全装备编号

操作体系--LINUX--装备-6

装备称号

口令最长生存期战略

装备要求内容

要求操作体系的账户口令的最长生存期不善于180天。

操作攻略

# cat /etc/login.defs文件中指定装备项,其间:

  1. PASS_MAX_DAYS装备项决议暗码最长运用期限;
  2. PASS_MIN_DAYS装备项决议暗码最短运用期限;
  3. PASS_WARN_AGE装备项决议暗码到期提示时刻

主张履行如下装备

主张依照如下办法进行账号及口令安全战略的装备,修正/etc/login.defs文件,将相应的字段修正为以下内容:

PASS_MAX_DAYS 90 //口令最长存留期

PASS_MIN_DAYS 30 //口令最短存留期

PASS_MIN_LEN 8 //口令最少字符数

PASS_WARN_AGE 15 //口令到期提示时刻

(以上仅对施行完这条战略后,新增加的用户有用)

检查办法

PASS_MAX_DAYS值小于等于180为契合;

“关于选用静态口令认证技能的设备,账户口令的生存期不善于180天”项的当时值:表明当时的口令生存期长度。

装备办法

vi /etc/login.defs文件,修正PASS_MAX_DAYS值为小于等于180

适用版别

中标软Linux。

危险提示

回退操作

# cat /etc/login.defs文件中指定装备项,其间:

  1. PASS_MAX_DAYS装备项决议暗码最长运用期限;
  2. PASS_MIN_DAYS装备项决议暗码最短运用期限;
  3. PASS_WARN_AGE装备项决议暗码到期提示时刻

补白

BVS基线检查输出当时的账户口令最长生存期。

 

    1. 拜访操控
      1. SSH登录装备

安全装备编号

操作体系--LINUX--装备-6

装备称号

SSH登录装备

装备要求内容

体系应装备运用SSH等加密协议进行长途登录保护,并安全装备SSHD的设置。不运用TELENT进行长途登录保护。

操作攻略

1、检查SSH服务状况:# ps –elf|grep ssh;

2、检查telnet服务状况:# ps –elf|grep telnet。

检查办法

  1. 不能运用telnet进行长途保护;
  2. 应运用SSH进行长途保护;
  3. SSH装备要契合如下要求;

Protocol 2 #运用ssh2版别

X11Forwarding yes #答应窗口图形传输运用ssh加密

IgnoreRhosts yes#彻底制止SSHD运用.rhosts文件

RhostsAuthentication no #不设置运用依据rhosts的安全验证

RhostsRSAAuthentication no #不设置运用RSA算法的依据rhosts的安全验证

HostbasedAuthentication no #不答应依据主机白名单办法认证

PermitRootLogin no #不答应root登录

PermitEmptyPasswords no #不答应空暗码

Banner /etc/motd #设置ssh登录时显现的banner

4、以上条件都满意为契合。

装备文件

  1. 参阅装备操作

修正 sshd_config,增加相关设置,SSHD相关安全设置选项参阅检查办法中的描绘。

2、弥补操作阐明

检查SSH服务状况:# ps –elf|grep ssh

适用版别

中标软Linux

危险提示

回退操作

补白

 

      1. 要害目录权限操控

安全装备编号

操作体系--LINUX--装备-7

装备称号

要害目录权限操控

装备要求内容

依据安全需求,装备某些要害目录其所需的最小权限;

要点要求password装备文件、shadow文件、group文件权限。

当时干流版其他linux体系在默许状况下即对重要文件做了必要的权限设置,在日常办理和操作过程中应避免修正此类文件权限,除此以外,应守时对权限进行检查及复核,保证权限设置正确。

操作攻略

检查要害目录的用户对应权限参阅指令

  1. ls -l /etc/passwd
  2. ls -l /etc/shadow
  3. ls -l /etc/group

检查办法

与办理员承认已有权限为最小权限。

装备办法

参阅装备操作:

经过chmod指令对目录的权限进行实践设置。

弥补操作阐明:

  1. /etc/passwd 一切用户都可读,root用户可写 –rw-r—r—

装备指令:chmod 644 /etc/passwd

  1. /etc/shadow 只要root可读 –r--------

装备指令:chmod 600 /etc/shadow;

  1. /etc/group 有必要一切用户都可读,root用户可写 –rw-r—r—

装备指令:chmod 644 /etc/group;

假如是有写权限,就需移去组及其它用户对/etc的写权限(特别状况在外)履行指令#chmod -R go-w,o-r /etc

适用版别

中标软Linux

危险提示

文件的读写权限应引起留意。

回退操作

参阅装备办法,参数做相应修正。

补白

 

      1. 修正root umask值

安全装备编号

操作体系--LINUX--装备-8

装备称号

修正root umask值

装备要求内容

022表明默许创立新文件权限为755 也便是 rxwr-xr-x(一切者悉数权限,属组读写,其它人读写),较为不安全,主张更正为750 也便是rxwr-x---(一切者悉数权限,属组读写,其它人无)。

操作攻略

施行办法如下,进入Linux体系,履行如下指令:

vi /etc/bashrc

更改为027

然后保存

适用版别

Linux

危险提示

回退操作

加固前创立备份目录,依照日期命名:(不必重复创立)

mkdir /root/backup20160229

将需求修正的装备文件仿制保存在备份目录:

cp /etc/bashrc /root/backup20160229/

需求回退的时分将修正前的备份文件掩盖回装备文件即可:

cp /root/backup20160229/bashrc /etc/bashrc

补白

 

 

      1. 制止ICMP重定向

安全装备编号

操作体系--LINUX--装备-9

装备称号

制止ICMP重定向

装备要求内容

禁用此功用,避免体系遭受网络层进犯

操作攻略

施行办法如下,进入Linux体系,履行如下指令:

#vi /etc/sysctl.conf

net.ipv4.conf.default.send_redirects=0

net

适用版别

Linux

危险提示

回退操作

加固前创立备份目录,依照日期命名:(不必重复创立)

mkdir /root/backup20160229

将需求修正的装备文件仿制保存在备份目录:

cp /etc/sysctl.conf /root/backup20160229/

需求回退的时分将修正前的备份文件掩盖回装备文件即可:

cp /root/backup20160229/sysctl.conf /etc/sysctl.conf

补白

 

 

      1. 约束root用户直接长途

安全装备编号

操作体系--LINUX--装备-10

装备称号

约束root用户长途

装备要求内容

Root用户为体系最高权限用户,默许为答应长途登录,较为不安全

操作攻略

施行办法如下,进入Linux体系傍边,履行如下指令:

#vi /etc/ssh/sshd_config

将PermitRootLogin yes更改为PermitRootLogin no

假如要运用root用户,请首要登陆到一般用户,再运用su指令切换到root用户上。

适用版别

Linux

危险提示

回退操作

加固前创立备份目录,依照日期命名:(不必重复创立)

mkdir /root/backup20160229

将需求修正的装备文件仿制保存在备份目录:

cp /etc/ssh/sshd_config /root/backup20160229/

需求回退的时分将修正前的备份文件掩盖回装备文件即可:

cp /root/backup20160229/sshd_config /etc/ssh/sshd_config

补白

 

 

      1. 用户缺省权限操控

安全装备编号

操作体系--LINUX--装备-11

装备称号

用户缺省权限操控

装备要求内容

操控用户缺省拜访权限,当在创立新文件或目录时应屏蔽掉新文件或目录不该有的拜访答应权限,避免同归于该组的其它用户及其他组的用户修正该用户的文件或更高约束。

操作攻略

1、# cat /etc/bashrc 检查大局默许设置umask值

2、检查详细用户home目录下bash_profile,详细用户的umask

检查办法

检查大局默许设置umask值为027或更小权限为契合(如有特许权限需求,可依据实践状况判别);

检查详细用户的umask,本着最小权限的准则。

装备办法

参阅装备操作:

  1. 独自针对用户设置

可修正用户home目录下的.bash_profile脚本文件,例如,可增加一条句子:umask 027;关于权限要求较严厉的场合,主张设置为077。

  1. 大局默许设置:

默许经过大局脚本/etc/bashrc设置一切用户的默许umask值,修正脚本即可完结对用户默许umask值的大局性修正,一般主张将umask设置为027以上,关于权限要求较严厉的场合,主张设置为077。

适用版别

中标软Linux

危险提示

回退操作

补白

umask体系默许设置一般为022,新创立的文件默许权限755(777-022=755);导致其他用户有履行权力。

在UNIX类体系中777是最高权限,4是读,2是写,1是履行,加起来等于7,三个7别离代表体系用户,本组用户和其他用户的权限。

 

    1. 安全审计
      1. 安全日志齐备性要求

安全装备编号

操作体系--LINUX--装备-12

装备称号

安全日志齐备性要求

装备要求内容

体系应装备齐备日志记载,记载对与体系相关的安全事情。

操作攻略

  1. # cat /etc/syslog.conf检查是否有对应装备

或许# cat /etc/rsyslog.conf检查是否有对应装备

2、# cat /var/log/secure检查是否有对应装备

检查办法

1、cat /etc/syslog.conf承认有对应装备;

2、检查/var/log/secure,应记载有需求的设备相关的安全事情。

装备办法

修正装备文件vi /etc/syslog.conf。

装备如下相似句子:

authpriv.* /var/log/secure

界说为需求保存的设备相关安全事情。

适用版别

中标软Linux

危险提示

仅会有相应资源开消,请检查体系资源是否足够。

回退操作

修正装备文件vi /etc/syslog.conf。

装备如下相似句子,注释掉下面:

#authpriv.* /var/log/secure

补白

 

适用版别

中标软Linux

危险提示

回退操作

补白

 

 

    1. 资源安全办理
      1. 补丁办理

安全装备编号

操作体系--LINUX--装备-13

装备称号

装置操作体系更新补丁

装备要求内容

装置操作体系更新补丁,修正体系缝隙

操作攻略

  1. 检查当时体系补丁版别
  2. 检查官网当时体系版别是否发布安全更新。

检查办法

版别应坚持为最新。

装备办法

经过拜访https://rhn.redhat.com/errata/下载补丁装置包,在翻开的页面上,挑选与自己运用相对应的体系后,点击衔接进入补丁包下载列表界面,挑选需求的补丁下载。

下载的补丁为rpm装置包,将该装置包仿制到方针体系上,运用指令rpm –ivh xxx.rpm进行装置,随后重新启动体系,检查所装置补丁的服务或运用程序是否运转正常,即完结该补丁的装置和晋级作业。

适用版别

Linux Redhat AS 3 中标软Linux

危险提示

此操刁难体系和运用有很大的影响,主张建立一个实验环境,测验安稳后才在体系上做补丁装置。

回退操作

实验环境里承认安稳后,才在实践体系上装置补叮

补白

 

      1. 封闭不必要的体系服务

安全装备编号

操作体系--LINUX--装备-14

装备称号

封闭不必要的体系服务

装备要求内容

依据每台机器的不同人物,封闭不需求的体系服务。操作攻略中的服务项供给参阅,依据服务器的人物和运用状况对启动项进行修正。如无特别需求,应封闭Sendmail、Telnet、Bind等服务。

操作攻略

履行指令 #chkconfig --list,检查哪些服务敞开。

检查办法

与办理员承认无用服务已封闭。

装备办法

  1. 参阅装备操作

运用如下办法禁用不必要的服务

#service <服务名> stop

#chkconfig --level 35 off

  1. 参阅阐明

Linux/Unix体系服务中,部分服务存在较高安全危险,应当禁用,包含:

“lpd”,此服务为行式打印机后台程序,用于假脱机打印作业的UNIX后台程序,此服务一般状况下不必,主张禁用;

“telnet”,此服务选用明文传输数据,登陆信息简略被盗取,主张用ssh替代;

“routed”,此服务为路由守候进程,运用动态RIP路由挑选协议,主张禁用;

“sendmail”,此服务为邮件服务看护进程,非邮件服务器应将其封闭;

“Bluetooth”,此服务为蓝牙服务,假如不需求蓝牙服务时应封闭;

“identd”,此服务为AUTH服务,在供给用户信息方面与finger相似,一般状况下该服务不是有必要的,主张封闭;

“xfs”,此服务为Linux中X Window的字体服务,关于该服务历史上呈现过信息走漏和拒绝服务等缝隙,应以削减体系危险;

R服务(“rlogin”、“rwho”、“rsh”、“rexec”),R服务规划上存在严峻的安全缺点,仅适用于封闭环境中信赖主机之间快捷拜访,其他场合下均有必要禁用;

依据inetd/xinetd的服务(daytime、chargen、echo等),此类服务主张禁用。

适用版别

中标软Linux

危险提示

封闭服务前,必须和办理员承认此服务封闭不会对运用中的运用程序形成影响。

回退操作

参阅装备操作

检查一切敞开的服务:

#ps –eaf

办法一:手动办法

在inetd.conf中封闭不必的服务 首要仿制/etc/inet/inetd.conf。 #cp /etc/inet/inetd.conf /etc/inet/inetd.conf.backup 然后用vi修正器修正inetd.conf文件,把在相应行最初符号"#"字符删去,

重启inetd进程

补白

 

 

 

 
 

本文地址:http://www.cvmachine.com/dnjc/99983.html
Tags: 安全 linux 主机
修正:申博开户网
关于咱们 | 联络咱们 | 友情链接 | 网站地图 | Sitemap | App | 回来顶部