LINUX主机安全加固
2015-01-30 10:52
267 查看
一、 账号策略
1.1 检查是否存在空口令账号
检查方法:awk -F: '($2 == ""){print}' /etc/passwd
备份方法:
cp -p /etc/passwd /etc/passwd_bak
加固方法:
使用命令passwd <用户名>设置密码。
回退方法:
rsync –avp /etc/passwd_bak /etc/passwd
1.2 检查是否设置除root之外UID为0的用户
检查方法:awk -F: '($3 == "0") {print}'/etc/passwd
备份方法:
cp -p /etc/passwd /etc/passwd_bak
加固方法:
使用命令passwd -l <用户名>锁定不必要的超级账户。
使用命令passwd -u <用户名>解锁需要恢复的超级账户。
回退方法:
rsync –avp /etc/passwd_bak /etc/passwd
1.3 检查是否按组进行账号管理
检查方法:cat /etc/pam.d/system-auth
备份方法:
cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak
加固方法:
添加以下内容
auth required pam_tally.so deny=5 unlock_time=600 no_lock_time
account required pam_tally.so
回退方法:
rsync –avp /etc/pam.d/system-auth_bak /etc/pam.d/system-auth
1.4 检查是否设置系统引导管理器密码
检查方法:cat /boot/grub/grub.conf
备份方法:
cp -p /boot/grub/grub.conf /boot/grub/grub.conf_bak
加固方法:
grub-md5-crypt
将执行之后的结果集添加配置文件中/boot/grub/grub.conf
回退方法:
rsync –avp /boot/grub/grub.conf_bak /boot/grub/grub.conf
二、 文件访问控制
1.1 检查用户目录缺省访问权限设置
检查方法:cat /etc/login.defs
备份方法:
cp -p cat /etc/login.defs /etc/login.defs_bak
加固方法:
vi /etc/login.defs
在末尾增加umask 027或UMASK 027,将缺省访问权限设置为750。
回退方法:
rsync –avp /etc/login.defs_bak /etc/login.defs
1.2 检查重要目录或文件权限设置
检查方法:cat /etc/profile
备份方法:
cp -p /etc/profile/etc/profile_bak
加固方法:
在文件/etc/profile中设置umask 077或UMASK 077
回退方法:
rsync –avp /etc/profile_bak /etc/profile
三、 日志管理
检查安全事件日志配置
检查方法:cat /etc/syslog.conf
备份方法:
cp -p /etc/syslog.conf/etc/syslog.conf_bak
加固方法:
编辑/etc/syslog.conf
配置:
*.err;kern.debug;daemon.notice /var/adm/messages
其中/var/adm/messages为日志文件。
如果该文件不存在,则创建该文件,命令为:
touch /var/adm/messages,并修改权限为666.命令为:chmod666 /var/adm/messages.
重启日志服务:/etc/init.d/syslogrestart
回退方法:
rsync –avp /etc/syslog.conf_bak /etc/syslog.conf
四、 远程登录
1.1 检查是否修改snmp默认团体字
检查方法:cat /etc/snmp/snmpd.conf
备份方法:
cp -p /etc/snmp/snmpd.conf/etc/snmp/snmpd.conf_bak
加固方法:
编辑/etc/snmp/snmpd.conf,修改public默认团体字为用户自定义团体字。
回退方法:
rsync –avp /etc/snmp/snmpd.conf_bak /etc/snmp/snmpd.conf
1.2 检查系统openssh安全配置
检查方法:cat /etc/ssh/sshd_config
备份方法:
cp -p /etc/ssh/sshd_config/etc/ssh/sshd_config_bak
加固方法:
在添加内容/etc/ssh/sshd_config
Protocol 2
PermitRootLogin NO
回退方法:
rsync –avp /etc/ssh/sshd_config_bak /etc/ssh/sshd_config
五、 系统服务
1.1 检查NFS(网络文件系统)服务配置
检查方法:cat /etc/hosts.allow
备份方法:
cp -p /etc/hosts.allow /etc/hosts.allow_bak
加固方法:
限制能够访问NFS服务的IP范围,编辑文件vi /etc/hosts.allow增加一行:portmap允许访问的IP
回退方法:
rsync –avp /etc/hosts.allow_bak /etc/hosts.allow
1.2 检查是否使用NTP(网络时间协议)保持时间同步
检查方法:cat /etc/ntp.conf
备份方法:
cp -p /etc/ntp.conf/etc/ntp.conf_bak
加固方法:
vi /etc/ntp.conf
配置:server IP地址(提供ntp服务的机器)
回退方法:
rsync –avp /etc/ntp.conf_bak /etc/ntp.conf
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 对linux主机进行安全加固(基线配…
- LINUX主机安全加固
- 对linux主机进行安全加固(基线配置不包括安全漏洞修补)
- Linux主机安全加固
- Linux系统主机安全加固
- 巧用Recent模块加固Linux安全
- 计算机安全超级工具(十二)-主机加固
- 利用sudo加固Linux系统安全
- 浅析个人主机安全加固及数据在移动过程中的数字签名
- 巧用Recent模块加固Linux安全
- 巧用Recent模块加固Linux安全[转]
- linux下的一些虚拟主机安全设置
- 从Linux到Solaris(安全加固,性能监控)
- 加固Linux系统----更新和添加安全补丁
- 至顶网推荐-Rpm另类用法加固Linux安全
- 巧用Recent模块加固Linux安全
- 系统安全:Linux主机服务器被入侵后需采取的措施
- linux系统主机安全配置!
- 通过Linux系统伪装方法加固系统安全
- Linux主机安全配置的几个脚本