linux安全加固文档分析

Linux 安全加固

注：红色字体暂时没有做操作

1.严格按照用户类型分配账号

2.系统无效帐户清理

检查无用账户More /etc/passwd

备份Cp -p /etc/passwd/etc/passwd_bak

锁定Passwd -1 username

检查是否存在空密码的账户

Logins -p 应无回应

备份

#cp?-p?/etc/passwd?/etc/passwd_bak?

cp?-p?/etc/shadow?/etc/shadow_bak?

锁定 passwd -1 username 或加密 passwd username

3.禁止限制超级管理员远程登录

4.对系统账号进行登录限制

Vi?/etc/passwd?例如修改?

lynn:x:500:500::/home/lynn:/sbin/bash?更改为：?

lynn:x:500:500::/home/lynn:/sbin/nologin?该用户就无法登录了。??

禁止所有用户登录。?

touch?/etc/nologin?

除root以外的用户不能登录了。?

2、补充操作说明?

禁止交互登录的系统账号，比如daemon,bin,sys、adm、lp、uucp、nuucp、smmsp等等

5.为空口令用户设置密码

pwd username

6.删除除ROOT以外UID为0的账户

检查方法：

#cat /etc/passwd 查看口令文件，口令文件格式如下：

login_name：password：user_ID：group_ID：comment：home_dir：command

login_name：用户名

password：加密后的用户密码

user_ID：用户ID，(1 ~ 6000) 若用户ID=0，则该用户拥有超级用户的权限。查看此处是否有多个ID=0。

group_ID：用户组ID

comment：用户全名或其它注释信息

home_dir：用户根目录

command：用户登录后的执行命令

备份方法：

#cp -p /etc/passwd /etc/passwd_bak

加固方法：

使用命令passwd -l 锁定不必要的超级账户。

使用命令passwd -u 解锁需要恢复的超级账户。

风险：需要与管理员确认此超级用户的用途。

7.设置系统口令策略

#vi /etc/login.defs修改配置文件

PASS_MAX_DAYS 90 #新建用户的密码最长使用天数

PASS_MIN_DAYS 0 #新建用户的密码最短使用天数

PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数

PASS_MIN_LEN 8 #最小密码长度8

8.设置关键目录的权限

通过chmod命令对目录的权限进行实际设置。?

2、补充操作说明?

etc/passwd?必须所有用户都可读，root用户可写?–rw-r—r—?

/etc/shadow?只有root可读?–r--------??

/etc/group?必须所有用户都可读，root用户可写?–rw-r—r—?

使用如下命令设置：?

chmod 644 /etc/passwd

chmod 600 /etc/shadow

chmod 644 /etc/group?

如果是有写权限，就需移去组及其它用户对/etc的写权限(特殊情况除外)?

执行命令#chmod?-R?go-w?/etc?

9.设置umask地址

检查方法：

#cat /etc/profile 查看umask的值

备份方法：

#cp -p /etc/profile /etc/profile_bak

加固方法：

#vi /etc/profile

默认情况下是022 使用者是002 把022 改成027

umask=027

风险：会修改新建文件的默认权限，如果该服务器是WEB应用，则此项谨慎修改。

TMOUT=180

export TMOUT

10.设置目录权限，防止非法访问目录需要重要目录

1、参考配置操作?

查看重要文件和目录权限：ls?–l?更改权限：?

对于重要目录，建议执行如下类似操作：?#?chmod?-R?750?/etc/init.d/*?

这样只有root可以读、写和执行这个目录下的脚本。

11.设置关键文件的属性

#?chattr +a /var/log/messages?

#?chattr +i /var/log/messages.*?

#?chattr +i /etc/shadow?

#?chattr +i /etc/passwd

#?chattr +i /et