收藏
下载资源

CentOS7-系统安全加固实施方案

上传人:m**** 文档编号:513806604 上传时间:2023-08-25 格式:DOCX 页数:11 大小:57.28KB
返回 下载 相关 举报
CentOS7-系统安全加固实施方案_第1页
第1页 / 共11页
CentOS7-系统安全加固实施方案_第2页
第2页 / 共11页
CentOS7-系统安全加固实施方案_第3页
第3页 / 共11页
CentOS7-系统安全加固实施方案_第4页
第4页 / 共11页
CentOS7-系统安全加固实施方案_第5页
第5页 / 共11页
点击查看更多>>
资源描述

《CentOS7-系统安全加固实施方案》由会员分享,可在线阅读,更多相关《CentOS7-系统安全加固实施方案(11页珍藏版)》请在金锄头文库上搜索。

1、CentOS7.0 系统安全加固手册名目一、用户#和环境 1二、系统访问认证和授权 3三、核心调整 4四、需要关闭的一些效劳 4五、SSH 安全配置 4六、封堵openssl 的Heartbleed 漏洞 5七、开启防火墙策略 5八、启用系统审计效劳 7九、部署完整性检查工具软件 8十、部署系统监控环境 10以下安全设置均是在CentOS7.0_x64 环境下minimal 安装进展的验证.一、用户#和环境检查项注释:1 去除了operator、lp、shutdown、halt、games、gopher #删除的用户组有: lp、uucp、games、dip其它系统伪#均处于锁定SHELL登录

2、的状态2 验证是否有账号存在空口令的状况:awk -F: ” print $1 ” /etc/shadow3 检查除了root以外是否还有其它账号的UID为0:任何UID为0的账号在系统上都2 / 10awk -F: ” print $1 ” /etc/passwd具有超级用户权限.4 检查root用户的$PATH中是否有.或者全部用户/组用户可写的名目超级用户的 $PATH设置中假设存在这些名目可能会导致超级用户误执行一个特洛伊木马5 用户的home名目许可权限设置为700用户home名目的许可权限限制不严可能会导致恶意用户读 /修改/删除其它用户的数据或取得其它用户的系统权限6 是否有用户

3、的点文件是全部用户可读写的:Unix/Linux下通常以“.“开头的文for dir in awk -F: ”= 500 print $6 ” /etc/passwddo件是用户的配置文件 ,假设存在全部用户可读 /写的配置文件可能会使恶意用户能读 /写其它用for file in $dir/.A-Za-z0-9* doif -f $file ; then chmod o-w $filefi done done7 为用户设置适宜的缺省umask值:cd /etcfor file in profile csh.login csh.cshrc bashrc doif grep -c umask $

4、file -eq 0 ; thenecho “umask 022“ $file fichown root:root $file chmod 444 $filedone8 设备系统口令策略:修改/etc/login.defs文件将PASS_MIN_LEN最小密码长度设置为12位.10 限制能够su为root 的用户:#vi /etc/pam.d/su在文件头部添加下面这样的一行authrequiredpam_wheel.so use_uid户的数据或取得其它用户的系统权限为用户设置缺省的umask值有助于防止用户建立全部用户可写的文件而危与用户的数据.这样,只有wheel组的用户可以su 到ro

5、ot操作样例:#usermod -G10 test 将test用户参与到wheel组11 修改别名文件/etc/aliases:#vi /etc/aliases注释掉不要的 #games: root #ingres: root #system: root #toor: root #uucp: root#manager: root #dumper: root #operator: root #decode: root #root: marc修改后执行/usr/bin/newaliases13 修改#TMOUT值,设置自动注销时间vi /etc/profile增加TMOUT=60014 设置Bas

6、h保存历史命令的条数#vi /etc/profile修改HISTSIZE=5无操作600秒后自动退出即只保存最执行的5条命令10 / 1016 防止IP SPOOF:#vi /etc/host.conf 添加:nospoof on17 使用日志效劳器:#vi /etc/rsyslog.conf 照以下样式修改*.info;mail.none;authpriv.none;cron.none二、系统访问认证和授权不允许效劳器对IP地址进展哄骗这里只是作为参考 ,需要依据实际打算怎么配置参数检查项注释:1限制 at/cron给授权的用户:cd /etc/rm -f cron.deny at.deny

7、 echo root cron.allow echo root at.allowchown root:root cron.allow at.allow chmod 400 cron.allow at.allow5 Crontab文件限制访问权限:chown root:root /etc/crontabchmod 400 /etc/crontabchown -R root:root /var/spool/cron chmod -R go-rwx /var/spool/cron chown -R root:root /etc/cron.* chmod -R go-rwx /etc/cron.*6

8、建立恰当的警告banner:Cron.allow和at.allow文件列出了允许允许crontab和at命令的用户, 在多数系统上通常只有系统治理员才需要运行这些命令系统的crontab文件应当只能被cron 守护进程 来访问, 一个一般用户可以修改crontab文件会导致他可以以超级用户身份执行任意程序转变登录banner可以隐蔽操作系统echo “Authorized uses only. All activity may be 类型和版本号和其它系统信息,这些monitored and reported.“ /etc/motd信息可以会对攻击者有用.chown root:root /et

9、c/motd chmod 644 /etc/motdecho “Authorized uses only. All activity may be monitored and reported.“ /etc/issueecho “Authorized uses only. All activity may be monitored and reported.“ /etc/7 限制root登录到系统把握台:通常应当以一般用户身份访问系统,cat /etc/securetty tty1tty2 tty3 tty4 tty5 tty6然后通过其它授权机制来获得更高权限 ,这样做至少可以对登录大事进展

10、跟踪END_FILEchown root:root /etc/securetty chmod 400 /etc/securetty8 设置守护进程掩码vi /etc/rc.d/init.d/functions设置为umask 022系统缺省的umask 值应当设定为 022 以避开守护进程创立全部用户可写的文件三、核心调整设置项注释:1 制止core dump:cat /etc/security/limits.conf* soft core 0* hard core 0 END_ENTRIES允许core dump会消耗大量的磁盘空间.2 chown root:root /etc/sysctl

11、.conf chmod 600 /etc/sysctl.conflog_martians将进展ip假冒的ip包记录到/var/log/messages其它核心参数使用CentOS默认值.四、需要关闭的一些效劳设置项注释:1关闭Mail Server chkconfig postfix off五、SSH 安全配置多数Unix/Linux系统运行Sendmail 作为效劳器, 而该软件历史上消灭过较多安全漏洞,如无必要,制止该效劳设置项注释:1 配置空闲登出的超时间隔: ClientAliveInterval 300ClientAliveCountMax 02 禁用 .rhosts 文件Ignor

12、eRhosts yes3 禁用基于主机的认证HostbasedAuthentication no4 制止 root #通过 SSH 登录PermitRootLogin noVi /etc/ssh/sshd_configVi /etc/ssh/sshd_config Vi /etc/ssh/sshd_config Vi /etc/ssh/sshd_config5 用警告的 Banner Banner /etc/issue6 iptables防火墙处理 SSH 端口 # 64906 64906 -j ACCEPT64906 -j ACCEPT7 修改 SSH 端口和限制 IP 绑定:Port 64

13、906安装selinux治理命令yum -y install policycoreutils-python修改 port contexts关键,需要对context进展修改semanage port -a -t ssh_port_t -p tcp 64906semanage port -l | grep ssh-查看当前SElinux 允许的ssh端口8 禁用空密码:PermitEmptyPasswords no9 记录日志:LogLevelINFOVi /etc/ssh/sshd_config这里仅作为参考 ,需依据实际需要调整参数Vi /etc/ssh/sshd_config仅作为参考 ,需依据实际需要调整参数.制止#使用空密码进展远程登录SSH确保在 sshd_config 中将日志级别 LogLevel 设置为 INFO 或者DEBUG,可通过 logwatch or logcheck 来阅读日志.10 重启SSHsystemctl restart sshd.service六、封堵 openssl 的 Heartbleed 漏洞重启ssh检测方法:在效劳器上运行以下命令确认openssl 版本# openssl versionOpenSSL 1.0.1e-fips 11 Feb 2023以上版本的openssl 存在Heartbleed bug,需要有针对性

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 资格认证/考试 > 自考

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号