《Linux系统安全常规配置全.docx》由会员分享,可在线阅读,更多相关《Linux系统安全常规配置全.docx(10页珍藏版)》请在金锄头文库上搜索。
1、Linux(RHEL5)系统安全常规优化一、Linux系统安全优化之基本安全措施1. 删除或禁用系统中不使用的用户和组1. #passwd-lwang/禁用账户wang 2. 3. #passwd-uwang/解锁账户wang 4. 5. 或 6. 7. #vi/etc/shadow/保存时为:wq!因为文件为只读在密码字符前加两个叹号!2. 确认程序或服务的登录shell不可用1. #vi/etc/passwd/将用户的登录shell改为/sbin/nologin 2. 3. 或 4. 5. #usermod-s/sbin/nologinwang3. 限制用户的密码有效期(最大天数)1. #
2、vi/etc/login.defs/只对新建立的用户有效 2. 3. PASS_MAX_DAYS30 4. 5. 或 6. 7. #chage-M30wang/只对已经存在的wang用户有效4. 指定用户下次登录时必须更改密码1. #chage-d0wang 2. 3. 或 4. 5. #vi/etc/shadow6. 7. /将shadow文件中wang用户LAST DAY 域(冒号 :分割的第三列)的值设为05. 限制用户密码的最小长度1. #vi/etc/pam.d/system-auth 2. 3. passwordrequisitepam_cracklib.sotry_first_p
3、assretry=3minlen=12retry 重试时间minlen 安全级别6. 限制记录命令历史的条数1. #vi/etc/profile 2. 3. HISTSIZE=50(默认为1000) 4. 5. #echo“history-c“/.bash_logout/注销时清除命令历史记录7. 设置闲置超时自动注销终端1. #vi/etc/profile 2. 3. exportTMOUT=600/添加此行使用SU切换用户身份 4. 5. su-用户名- 区别 :使用:相当于 - -login,表示使用目标用户的登录shell环境,工作目录,PATH变量等不使用: 保持原有的用过环境不便二
4、、Linux系统安全优化之案例说明su的使用方法允许wang用户可以通过su命令切换为root身份,以便执行管理任务禁止其他用户使用su命令切换用过身份(1) 将允许用户加入wheel组1. #gpasswd-awangwheel 2. 3. #idwang/查看wang用户的附加组(2) 修改PAM设置,添加pam_wheel认证1. #vi/etc/pam.d/su 2. 3. authrequiredpam_wheel.souse_uid/去掉该行的#号(3) 验证su权限Linux系统安全优化中基本安全措施的配置就向大家介绍完了,希望大家已经掌握。三、Linux系统安全优化之使用sud
5、o提升执行权限1./etc/sudoers配置文件-visudosudo命令提供一种机制,只需要预先在/etc/sudoers配置文件中进行授权,即可以允许特定用户以超级用户(或其他普通用户)的身份执行命令,而该用户不需知道root用户的密码(或其他用户)的密码。常见语法格式如下:user MACHINE=COMMANDSuser: 授权指定用户MACHINE主机: 授权用户可以在哪些主机上使用COMMANDS命令:授权用户通过sudo调用的命令,多个命令用 , 分隔/etc/sudoers文件配置中的用户、主机、命令三个部分均为可以自定义别名进行代替,格式如下1. User_AliasOPE
6、RATORS=jerry,tom,tsengyia 2. 3. Host_AliasMAILSERVERS=smtp,pop 4. 5. Cmnd_AliasSOFTWARE=/bin/rpm,/usr/bin/yum2.使用sudo执行命令sudo -l :查看当前用过被授权使用的sudo命令sudo -k :清除timestamp时间戳标记,再次使用sudo命令时需要重新验证密码sudo -v :重新更新时间戳(必要时系统会再次询问用户密码)案例说明:因系统管理工作繁重,需要将用户账号管理工作交给专门管理组成员负责设立组账号 managers ,授权组内的各个成员用户可以添加、删除、更改用
7、户账号(1) 建立管理组账户 managers# groupadd managers(2) 将管理员账号,如wang加入managers组# gpasswd -M wang.nan managers(3) 配置sudo文件,针对managers组开放useradd 、 userdel 等用户管理命令的权限1. #visudo 2. 3. Cmns_AliasUSERADM=/usr/sbin/useradd,/usr/sbin/userdel,/usr/sbin/usermod 4. 5. %managerslocalhost=USERADM(4) 使用wang账号登录,验证是否可以删除他、添
8、加用户1. #su-wang 2. 3. #whoami 4. 5. #sudo-l 6. 7. #sudo/usr/sbin/useradduser1 8. 9. #sudo/usr/sbin/usermod-p“user1 10. 11. #sudo/usr/sbin/userdel-ruser1Linux系统安全优化中使用sudo提升执行权限的配置就向大家介绍完了,希望大家已经掌握。四、Linux系统安全优化之文件1. 合理规划系统分区建议划分为独立分区的目录/boot:大小建议在200M以上。/home :该目录是用户默认宿主目录所在的上一级文件夹,若服务器用户数量较多,通常无法预知每
9、个用户所使用的磁盘空间大小/var : 该目录用于保存系统日志、运行状态、用户邮箱目录等,文件读写频繁。占用空间可能会较多/opt : 用于安装服务器的附加应用程序及其他可选工具,方便扩展使用2.通过挂载选项禁止执行set位程序、二进制程序使/var分区中程序文件的执行(x)权限失效,禁止直接执行该分区中二进制程序1. #vi/etc/fstab 2. 3. /dev/sdc1/varext3defaults,noexec12 4. 5. #mount-oremount/var如果想要从文件系统层面禁止文件的suid 或 sgid位权限,将上边的noexec改为nosuid即可3. 锁定不希望
10、更改的系统文件使用 +i 属性锁定service 、passwd、grub.conf 文件(将不能正常添加系统用户)# chattr +i /etc/service /etc/passd /boot/grub.conf解除/etc/passwd文件的 +i 锁定属性1. #lsattr/etc/passwd/查看文件的属性状态 2. 3. #chattr-i/etc/passwd五、Linux系统安全优化之应用程序和服务1. 关闭不必要的系统服务2. 禁止普通用户执行init.d目录中的脚本1. #chmod-Ro-rwx/etc/init.d 2. 3. 或 4. 5. #chmod-R75
11、0/etc/init.d3.禁止普通用户执行控制台程序/etc/security/console.apps/目录下每一文件对应一个系统程序,如果不希望普通用户调用这些控制台程序,可以将对应的配置文件移除1. #cd/etc/security/console.apps/ 2. 3. #tarjcpvf/etc/conhlp.pw.tar.bz2poweroffhaltreboot-remove4.去除程序文件中非必需的set-uid 或 set-gid 附加权限查找系统中设置了set-uid或set-gid权限的文件,并结合 exec 选项显示这些文件的详细权限属性# find / -type
12、f perm +6000 -exec ls -lh ;去掉程序文件的suid/sgid位权限# chmod a-s /tmp/back.vim编写shell脚本,检查系统中新增加的带有suid或者sgid位权限的程序文件(1)在系统处于干净状态时,建立合法suid/sgid文件的列表,作为是否有新增可疑suid文件的比较依据1. #find/-typef-prem+6000/etc/sfilelist 2. 3. #chmod600/etc/sfilelist (2) 建立chksfile脚本文件,与sfilelist比较,输出新增的带suid/sgid属性的文件1. #vi/usr/sbin/chksfile 2. 3. #!/bin/bash 4. 5. OLD_LIST=/etc/sfilelist 6. 7. foriinfind/-type-prem+6000 8. 9. do 10. 11. grep-F“$i”$OLD_LIST/dev/null 12. 13. $?-ne0&ls-lh$i 14. 15. done 16. 17. #chmod700/usr/bin/chkfile(3) 执行chkfile脚本,检查是否有新增suid/sgid文件1. #cp/bin/touch/bin/mytouch/建立测试用程序文件 2. 3. #chmod
