收藏
下载资源

系统安全加固

上传人:大米 文档编号:504337178 上传时间:2022-09-02 格式:DOCX 页数:6 大小:12.70KB
返回 下载 相关 举报
系统安全加固_第1页
第1页 / 共6页
系统安全加固_第2页
第2页 / 共6页
系统安全加固_第3页
第3页 / 共6页
系统安全加固_第4页
第4页 / 共6页
系统安全加固_第5页
第5页 / 共6页
点击查看更多>>
资源描述

《系统安全加固》由会员分享,可在线阅读,更多相关《系统安全加固(6页珍藏版)》请在金锄头文库上搜索。

1、系统安全加固帐户安全配置要求1、1创建/etc/shadow影子口令文件配置项名称设置影子口令模式检查方 法执行:#more /etc/shadow查看是否存在该文件操作步骤1、执行备份:#cp - p /etc/passwd /etc/passwd_bak2、切换到影子口令模式:#pwconv回退操作执行:#pwunconv#cp /etc/passwd_bak /etc/passwd风险说明系统默认使用标准口令模式,切换不成 功可能导致整个用户管理失效1、2建立多帐户组,将用户账号分配到相应的帐户组配置项名称建立多帐 户组,将用户账号分配到相应的帐户组检查方法1、执行:#more /etc

2、/group #more /etc/shadow 查看每个组中的用户或 每个用户属于那个组2、确认需要修改用户组的用户操作步骤1、执行备份:#cp - p /etc/group /etc/group_bak2、修改用户所属组:# usermod - g group username回退操作执行:#cp /etc/group_bak /etc/group风险说明修改用户所属组可能导致某些应用无法正 常运行1、3删除或锁定可能无用的帐户配置项名称删除或锁定可能无用的帐户检 查方法1、执行:#more /etc/passwd查看是否存在以下可能无用的帐户:hpsmh、 named、 uucp、 nu

3、ucp、 adm、 daemon、 bin、 Ip2、与管理员确认需要锁定的帐户操作步骤1、执行备份:#cp - p /etc/passwd /etc/passwd_bak2、锁定无用帐户:#passwdp /etc/shadow /etc/shadow_bak2、锁定空密码帐户或使用passwd命令设置复杂密码#passwd - l username 回退操作执行: #cp - p /etc/passwd_bak /etc/passwd#cpp /opt/ssh/etc/sshd_config /opt/ssh/etc/sshd_config_bak2、新建一个普通用户并设置高强度密码:#u

4、seradd username#passwd username3、禁止root用户远程登录系统:#vi /etc/securetty去掉console前面 的注释,保存退出#vi /opt/ssh/etc/sshd_config 将 PermitRootLogin 后的 yes 改为 no 回 退操作执行:#cp /etc/securetty_bak /etc/securetty#cpp /etc/profile /etc/profile_bak2、修改umask设置:#vi /etc/profile将umask值修改为027,保存退出 回退操作执行:#cp /etc/profile_bak

5、/etc/profile风险说明umask设置不当 可能导致某些应用无法正确自动创建目录或文件,从而运行异常2访问、认证 安全配置要求2、1远程登录取消telnet采用ssh配置项名称远程登录取消telnet采用 ssh检查方法查看SSH、telnet服务状态:#ps - elf | grep ssh#ps - elf | grep telnetSSH服务状态查看结果为:online telnet服务状态查看结果为:disabled 操作步骤1、备份#cp - p /etc/inetd、conf /etc/inetd、conf_bak2、修改/etc/inetd、conf 文件,将 telne

6、t 行注释掉#telnet stream tcp nowait root /usr/lbin/telnetd telnetd3、重启服务# inetdp /etc/ftpd/ftpusers /etc/ftpd/ftpusers_bak2、禁止用户FTP登录系统:#vi /etc/ftpd/ftpusers每一个帐户一行, 添加以下帐户禁止FTP登录root、daemon、bin、 sys、adm、lp、uucp、nuucp、 nobody、hpdb、useradm 回 退操作执行:#cp /etc/ftpd/ftpusers_bak /etc/ftpd/ftpusers风险说明禁止某些帐户登

7、录FTP可能导致某些应用无法正 常运行2、3配置允许访问inetd服务的IP范围或主机名配置项名称配置允许访 问inetd服务的IP范围或主机名检查方法执行:#cat/var/adm/inetd、sec查 看有无类似login denyl92、54、24、5 cory、berkeley、edu testlan 配置操作步骤1、执行备份:#cpp cron、 deny cron、 deny_bak#cpp cron、 allow cron、 allow_bak#cpf cron、 deny at、 deny#echo root cron、 allow#echo root at、 allow#ch

8、own root:sys cron、allow at、allow#chmod400 cron、allow at、allow 回退操作# cd /var/adm/cron#cpp at、deny_bak at、deny#cpp at、allow_bak at、allow风险说明除root外帐户不能使用at/cron,可能影响某些应用。2、5设定连续认证失败次数超过6次(不含6次)锁定该账号配置项名称 配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。 检查方法执行:#cat /etc/default/security 检查是否存在 AUTH_MAXTRIES=6 操作步骤1、

9、执行备份 #cpp /etc/default/security_bak /etc/default/security 风险说明root账号也在锁定的限制范围内,一旦root被锁定,就需要光盘引导, 因此该配置要慎用。3文件系统安全配置要求3、1重要目录和文件的权限设置配置项名称重要目录和文件的权限设置检 查方法执行以下命令检查目录和文件的权限设置情况:#ls -l /etc/#ls -l /tmp/#ls - l /etc/default/#lsnousernogroup )al ;咨询管理员找到的文件或目录是否应用所需操作步骤1、执行备份:使用cp命令备份没有所有者的文件或目录2、使用chmo

10、d命令添加属主或删除没有所有者的文件或目录:#rm - rf filename回退操作使用cp命令恢复被删除的没有所有者的文件或目录风险说明 执行检查会大量消耗系统资源,需要确认无所有者的文件的具体用途4网络服 务安全配置要求4、1禁止NIS/NIS+服务以守护方式运行配置项名称禁止NIS/NIS+服务以 守护方式运行 Network Information System 检查方法执行:#more /etc/rc、 config、 d/namesvrs 查看该文件中是否存在以下参数: NIS_MASTER_SERVER=0NIS_SLAVE_SERVER=0NIS_CLIENT=0NISPLU

11、S_SERVER=0NISP LUS_CLIENT=0操作步骤1、执行备份:#cpap NIS_SLAVE_SERVER=0p NISPLUS_SERVER=0p/etc/rc、 config、d/namesvrs_bak /etc/rc、config、d/namesvrs 风险说明 NIS/NIS+服 务无法自动启动4、2禁用打印服务以守护方式运行配置项名称禁止打印服务以守护方式运 行检查方法执行:#more /etc/rc、config、d/tps查看该文件中是否存在 XPRINTSERVERS=#more /etc/rc、config、d/lp 查看该文 件中是否存在 LP=0#more

12、/etc/rc、config、d/pd查看该文件中是否存在PD_CLIENT=0操作步 骤1、执行备份:#cpp /etc/rc、config、d/lp /etc/rc、config、 d/lp_bak#cpaaap /etc/rc、 config、 d/namesvrs_bak /etc/rc、 config、 d/namesvrs风险说明打印服务无法自动启动4、3禁用SENDMAIL服务以守护方式运行配置项名称禁止SENDMAIL服务以 守护方式运行检查方法执行:#more /etc/rc、config、d/mailservs查看该文 件中是否存在SENDMAIL_SERVER=0操作步骤

13、1 执 行 备 份: #cpp /var/spool/cron/crontabs/root /var/spool/cron/crontabs/root_bak2、设置参数:#ch_rcp SENDMAIL_SERVER=0/etc/rc、config、d/mailservs #cd /var/spool/cron/crontabs #crontabq root、tmp #crontab root、tmp #rmp /etc/rc 、 config 、 d/mailservs /etc/rc 、 config 、 d/mailservs_bak#cpLogical-Screen-Daemo n)

14、服务,执行:#more /etc/rc、 config、d/slsd查看该文件中是否存在SLSD_DAEMON=0检查SAMBA服务,执行: #more /etc/rc、config、d/samba 查看该文件中是否存在 RUN_SAMBA=0 检查 CIFS 客户端服务,执行:#more/etc/rc、config、d/cifsclient查看该文件中是否 存在 RUN_CIFSCLIENT=0 检查 NFS 启动服务,执行:#more /etc/rc、config、 d/nfsconf 查看该文件中是否存在 NFS_SERVER=0、NFS_CLIENT=0 检查 Netscape Fas

15、tTrack Server 服务,执行:#more /etc/rc、config、d/ns-ftrack 查看该 文件中是否存在NS_FTRACK=0检查APACHE服务,执行:#more/etc/rc、config、 d/apacheconf查看该文件中是否存在APACHE_START=0检查基于RPC的服务,执 彳亍:#ls /sbin/rc2、d/、NOS400nfs、core查看是否存在该文件操作步骤1、执行备份:使用cp命令备份需要修改的文件2、设置参数:执行下列命令,禁用SNAplus2服务#ch_rcp START_SNAPLUS=0pSTART_SNAINETD=0 /etc/

16、rc、config、d/snaplus2 执行下列命令,禁用多播路 由服务 #ch_rcp MROUTED=0p DDFA=0ap DFS_CORE=0p DFS_SERVER=0p EPIINIT=0p BOSSERVER=0p FXD=0p DFSGWD=0ap RDPD=0 /etc/rc、config、d/netconf 执行 下列命令,禁用响应PTY (伪终端)请求守护进程#ch_rcp PTYDAEMON_START=0 /etc/rc、config、d/ptydaemon执行下列命令,禁用响应VT (通过LAN登录其 他系统)请求守护进程#ch_rcp VTDAEMON_START=0 /etc/rc、config、d/vt 执 行下列命令,禁用域名守护进程#ch_rcp NAMED=0/etc/rc、config、d/names

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 学术论文 > 其它学术论文

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号