收藏
下载资源

linu系统安全加固方案

上传人:新** 文档编号:558950948 上传时间:2023-08-01 格式:DOCX 页数:8 大小:17.30KB
返回 下载 相关 举报
linu系统安全加固方案_第1页
第1页 / 共8页
linu系统安全加固方案_第2页
第2页 / 共8页
linu系统安全加固方案_第3页
第3页 / 共8页
linu系统安全加固方案_第4页
第4页 / 共8页
linu系统安全加固方案_第5页
第5页 / 共8页
点击查看更多>>
资源描述

《linu系统安全加固方案》由会员分享,可在线阅读,更多相关《linu系统安全加固方案(8页珍藏版)》请在金锄头文库上搜索。

1、1 概述 - 1 -1.1 适用范围- 1 -2 用户账户安全加固 - 1 -2.1 修改用户密码策略 - 12.2 锁定或删除系统中与服务运行,运维无关的的用户 - 12.3 锁定或删除系统中不使用的组 - 22.4 限制密码的最小长度 - 2 -3 用户登录安全设置 - 3 -3.1禁止root用户远程登录.-3-3.2设置远程ssh登录超时时间.-3 -3.3 设置当用户连续登录失败三次,锁定用户 30分钟 - 4-3.4设置用户不能使用最近五次使用过的密码 - 5-3.5设置登陆系统账户超时自动退出登陆 - 5-4系统安全加固- 54.1 关闭系统中与系统正常运行、业务无关的服务 -

2、54.2 禁用“CTRL+ALT+DEL” 重启系统-6 -4.3力口密 grub 菜单-6 -1概述1.1 适用范围本方案适用于银视通信息科技有限公司linux主机安全加固,供运维人员参考对linux 主机进行安全加固。2 用户账户安全加固2.1 修改用户密码策略(1) 修改前备份配置文件:/etc/login.defscp /etc/login.defs /etc/login.defs.bak(2) 修改编辑配置文件:vi /etc/login.defs,修改如下配置:PASS_MAX_DAYS 90 (用户的密码不过期最多的天数)PASS_MIN_DAYS0 (密码修改之间最小的天数)P

3、ASS_MIN_LEN8 (密码最小长度)PASS_WARN_AGE 7(口令失效前多少天开始通知用户更改密码)( 3 )回退操作cp /etc/login.defs.bak /etc/login.defs2.2锁定或删除系统中与服务运行,运维无关的的用户(1) 查看系统中的用户并确定无用的用户more /etc/passwd( 2 )锁定不使用的账户(锁定或删除用户根据自己的需求操作一项即可) 锁定不使用的账户:usermod -L username或删除不使用的账户:userdel -f username3)回退操作用户锁定后当使用时可解除锁定,解除锁定命令为usermod -U user

4、name2.3锁定或删除系统中不使用的组(1)操作前备份组配置文件/etc/groupcp /etc/group /etc/group.bak2)查看系统中的组并确定不使用的组cat /etc/group3)删除或锁定不使用的组 锁定不使用的组:修改组配置文件/etc/group,在不使用的组前加“# ”注释掉该组即可删除不使用的组:groupdel groupname( 4)回退操作cp /etc/group.bak /etc/group2.4限制密码的最小长度(1) 操作前备份组配置文件/etc/pam.d/system-authcp /etc/pam.d /etc/pam.d.bak(2

5、) 设置密码的最小长度为8修 改配 置文件 /etc/pam.d,在 行passwordrequisitepam_pwquality .sotry_first_passlocal_users_only retry=3authtok_type=中添加“minlen=8 ,或使用 sed 修改:sed -i s#passwordrequisitepam_pwquality.so try_first_passlocal_users_only retry=3 authtok_type=#passwordrequisitepam_pwquality.so try_first_pass local_use

6、rs_only retry=3 minlen=8 authtok_type=#g /etc/pam.d/system-auth(3) 回退操作# cp /etc/pam.d.bak /etc/pam.d3用户登录安全设置3.1 禁止 root 用户远程登录( 1 )修改前备份 ssh 配置文件 /etc/ssh/sshd_conf# cp /etc/ssh/sshd_conf /etc/ssh/sshd_conf.bak( 2 )修改 ssh 服务配置文件不允许 root 用户远程登录编辑/etc/ssh/sshd_config 找到“#PermitRootLogin yes 去掉注释并修改为

7、 “PermitRootLogin no或者使用sed修改,修改命令为:# sed -i s#PermitRootLogin yesPermitRootLogin nog/etc/ssh/sshd_config( 3)修改完成后重启 ssh 服务Centos6.x 为:# service sshd restartCentos7.x 为:# systemctl restart sshd.service( 4)回退操作# cp /etc/ssh/sshd_config.bak /etc/ssh/sshd_config3.2设置远程ssh登录超时时间(1)修改前备份ssh服务配置文件/etc/ssh

8、/sshd_configcp /etc/ssh/sshd_conf /etc/ssh/sshd_conf.bak(2) 设置远程 ssh 登录长时间不操作退出登录编辑 /etc/ssh/sshd_conf 将”#ClientAlivelnterval 0” 修改为”ClientAlivelnterval 180”,将”# Clie ntAliveCou ntMax 3”去掉注释,或执行如下命令:# sed -i s #ClientAlivelnterval 0ClientAlivelnterval 180g/etc/ssh/sshd_config# sed -i s #ClientAliveC

9、ountMax 3ClientAliveCountMax 3g/etc/ssh/sshd_config(3) 配置完成后保存并重启 ssh 服务Centos6.x 为:service sshd restartCentos7.x 为:systemctl restart sshd.service(4) 回退操作cp /etc/ssh/sshd_config.bak /etc/ssh/sshd_config3.3设置当用户连续登录失败三次,锁定用户30分钟(1) 配置前备份配置文件/etc/pam.d/sshdcp /etc/pam.d/sshd /etc/pam.d/sshd.bak(2) 设置当

10、用户连续输入密码三次时,锁定该用户 30 分钟修改配置文件/etc/pam.d/sshd,在配置文件的第二行添加内容:authrequired pam_tally2.so deny=3 unlock_time=300( 3)若修改配置文件出现错误,回退即可,回退操作:cp /etc/pam.d/sshd.bak /etc/pam.d/sshd3.4设置用户不能使用最近五次使用过的密码(1)配置前备份配置文件/etc/pam.d/sshdcp /etc/pam.d/system-auth /etc/pam.d/system-auth.bak( 2)配置用户不能使用最近五次使用的密码修 改 配 置

11、 文 件 /etc/pam.d/sshd, 找 到 行 ”passwordsufficientpam_unix.so sha512 shadow nullok try_first_pass use_authtok”,在最后加入 remember=10,或使用sed修改sed -i s#passwordsufficientpam_unix.so sha512 shadow nulloktry_first_pass use_authtokpasswordsufficientpam_unix.so sha512 shadownullok try_first_pass use_authtok reme

12、mber=10g /etc/ssh/sshd_config( 3 )回退操作cp /etc/pam.d/sshd.bak /etc/pam.d/sshd3.5设置登陆系统账户超时自动退出登陆(1)设置登录系统的账号长时间不操作时自动登出修改系统环境变量配置文件/etc/profile,在文件的末尾加入”TMOUT=180”,使 登录系统的用户三分钟不操作系统时自动退出登录。# echo TMOUT=180 /etc/profile( 2)使配置生效执行命令:. /etc/profile #或 source /etc/profile( 3 )回退操作删除在配置文件/etc/profile”中添加

13、的”TMOUT=180”,执行命令./etc/profile 使配置生效。4 系统安全加固4.1关闭系统中与系统正常运行、业务无关的服务(1)查看系统中的所有服务及运行级别,并确定哪些服务是与系统的正常运行 及业务无关的服务。2)关闭系统中不用的服务chkconfig servername off3)回退操作,如果意外关闭了与系统业务运行相关的服务,可将该服务开启chkconfig servername on4.2禁用“CTRL+ALT+DEL”重启系统(1) rhel6.x中禁用“ctrl+alt+del”键重启系统修改配置文件 “ /etc/init/control-alt-delete.

14、conf ” ,注释掉行 “ start on control-alt-delete ”。或用 sed 命令修改:sed -i sstart on control-alt-delete#start on control-alt-deleteg/etc/init/control-alt-delete.conf(2) rhel7.x中禁用“ctrl+alt+del”键重启系统修改配置文件/usr/lib/systemd/system/ctr-alt-del.target”,注释掉所有内容。 ( 3)使修改的配置生效|# init q|4.3加密grub菜单1、加密 Redhat6.x grub 菜

15、单(1)备份配置文件/boot/grub/grub.co nfcp /boot/grub/grub.conf /boot/grub/grub.conf.bak( 2)将密码生成秘钥grub-md5-cryptPassword:Retype password:$1$nCPeR/$mUKEeqnBp8G.P.Hrrreus.(3)为 grub 加密修改配置文件 /boot/grub/grub.conf,在”timeout=5”行下加入password -md5 $1$CgxdR/$9ipaqi8aVriEpF0nvfd8x.”,”$1$CgxdR/$9ipaqi8aVriEpF0nvfd8x.”为加密后 的密码。(4)回退cp /boot/grub/grub.conf /boot/grub/grub.conf.bak或者删除加入行”password -md5 $1$CgxdR/$9ipaqi8

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 学术论文 > 其它学术论文

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号