您的位置:首页 > 运维架构 > Linux

Linux系统安全配置

2017-03-28 17:39 369 查看
 相信很多小伙伴都很苦恼被黑客入侵,这里有一些基本安全配置方法可供大家参考。

1.防止任何人使用su命令成为root(删除系统中多余的帐号,则不必做该项)

如果不想任何人都可以用“su”命令成为root 或 只让某些用户有权使用“su”命令,须在“/etc/pam.d/su”文件的头部加入下面两行,确保只有“wheel”组的成员才能用su 命令成为root:

auth sufficient bcurity/pam_rootok.so

auth required bcurity/pam_wheel.so use_uid

然后使用“usermod -a -G10 用户名“命令将需要su成为root的用户添加到wheel用户组。

2.安装安全补丁

及时获得最新的安全补丁,经测试不会对系统上所运行的应用造成不良影响后,及时安装补丁程序。保持系统始终处于安装了必要的最新安全补丁状况。

3.设置合适的口令策略文件

编辑/etc/login.defs文件,设置合适的口令策略文件,包括最小口令长度、口令使用期限等,例如设置“PASS_MIN_LEN 8“,即默认的最小口令长度为8。

 

/etc/login.defs :

#       PASS_MAX_DAYS   Maximum number of days a password may be used.

#       PASS_MIN_DAYS   Minimum number of days allowed between password changes.

#       PASS_MIN_LEN    Minimum acceptable password length.

#       PASS_WARN_AGE   Number of days warning given before a password expires.

PASS_MAX_DAYS   90

PASS_MIN_LEN    8

 

 

启用口令策略以达到一定的复杂度:

vi /etc//pam.d/passwd 

  文件的头部加入password  required  pam_cracklib.so  retry=3 difok=8 minlen=5

 

限制最大同时登录的会话数

/etccuritymits.conf 中加入

*                hard    maxlogins       8

/etc/pam.d/login 中加入

session    required     b64curity/pam_limits.so

 

如是32位版的linux(uname –m 检查操作系统版本),文件名应改为bcurity/pam_limits.so

需重启sshd服务(service sshd restart)。

 

4.帐号锁定

/etc/pam.d/system-auth :(下面两条放到sufficient条目之前)

auth        required        b64curity/pam_tally.so onerr=fail 

account     required        b64curity/pam_tally.so deny=30 reset

如是32位版的linux,文件名应改为bcurity/pam_tally.so

需重启sshd服务(service sshd restart)。

 

5.网络访问控制

禁止root远程登录

/etc/ssh/sshd_config :   (修改下面两条,需重启service sshd restart)

PermitRootLogin no

MaxAuthTries 6

 

屏蔽banner信息

/etc/ssh/sshd_config :

注释掉banner的相关条目

#Banner /some/path

 

 

6.设置初始文件权限

~/.bash_profile :  (针对每一用户,该配置文件中增加一行)

umask 077    #适用root用户,其它用户不可读

umask 022    #适用非root用户,其它用户可读不可写

 

7.设置合适的历史命令数量

编辑“/etc/profile”文件,确保HISTFILESIZE和HISTSIZE都设成了一个比较小的值。

export HISTSIZE=80

export HISTFILESIZE=80

8.设置系统自动注销帐号功能

编辑/etc/profile文件,确保其中TMOUT参数设置了合适的值,例如600(10分钟),即可设置自动注销帐号功能。

由睿江云运维人员提供,想了解更多,请登录www.eflycloud.com吧!
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 点击这里给我发消息