《Linux 系统安全常规配置.doc》由会员分享,可在线阅读,更多相关《Linux 系统安全常规配置.doc(7页珍藏版)》请在金锄头文库上搜索。
1、Linux 系统安全常规配置基本安全措施1. 删除或禁用系统中不使用的用户和组# passwd -l wang /禁用账户wang# passwd -u wang /解锁账户wang或# vi /etc/shadow /保存时为 :wq! 因为文件为只读在密码字符前加两个叹号!2. 确认程序或服务的登录shell不可用# vi /etc/passwd /将用户的登录shell改为/sbin/nologin或# usermod -s /sbin/nologin wang3. 限制用户的密码有效期(最大天数)# vi /etc/login.defs /只对新建立的用户有效PASS_MAX_DAYS
2、 30或# chage -M 30 wang /只对已经存在的wang用户有效4. 指定用户下次登录时必须更改密码# chage -d 0 wang或# vi /etc/shadow/将shadow文件中wang用户LAST DAY 域(冒号 :分割的第三列)的值设为05. 限制用户密码的最小长度# vi /etc/pam.d/system-authpassword requisite pam_cracklib.so try_first_pass retry=3 minlen=12retry 重试时间 minlen 安全级别6. 限制记录命令历史的条数# vi /etc/profileHIST
3、SIZE=50 (默认为1000)# echo “history -c “ /.bash_logout /注销时清除命令历史记录7. 设置闲置超时自动注销终端# vi /etc /profileexport TMOUT=600 /添加此行使用SU切换用户身份su - 用户名- 区别 :使用:相当于 -login,表示使用目标用户的登录shell环境,工作目录,PATH变量等不使用: 保持原有的用过环境不便案例说明su的使用方法允许wang用户可以通过su命令切换为root身份,以便执行管理任务禁止其他用户使用su命令切换用过身份(1) 将允许用户加入wheel组# gpasswd -a wan
4、g wheel# id wang /查看wang用户的附加组(2) 修改PAM设置,添加pam_wheel认证# vi /etc/pam.d/suauth required pam_wheel.so use_uid /去掉该行的#号(3) 验证su权限? 使用sudo提升执行权限1./etc/sudoers配置文件visudosudo命令提供一种机制,只需要预先在/etc/sudoers配置文件中进行授权,即可以允许特定用户以超级用户(或其他普通用户)的身份执行命令,而该用户不需知道root用户的密码(或其他用户)的密码。常见语法格式如下:user MACHINE=COMMANDSuser:
5、授权指定用户MACHINE主机: 授权用户可以在哪些主机上使用COMMANDS命令:授权用户通过sudo调用的命令,多个命令用 , 分隔/etc/sudoers文件配置中的用户、主机、命令三个部分均为可以自定义别名进行代替,格式如下User_Alias OPERATORS=jerry, tom, tsengyiaHost_Alias MAILSERVERS=smtp , popCmnd_Alias SOFTWARE=/bin/rpm , /usr/bin/yum2.使用sudo执行命令sudo -l :查看当前用过被授权使用的sudo命令sudo -k :清除timestamp时间戳标记,再次
6、使用sudo命令时需要重新验证密码sudo -v :重新更新时间戳(必要时系统会再次询问用户密码)案例说明:因系统管理工作繁重,需要将用户账号管理工作交给专门管理组成员负责设立组账号 managers ,授权组内的各个成员用户可以添加、删除、更改用户账号(1) 建立管理组账户 managers# groupadd managers(2) 将管理员账号,如wang加入managers组# gpasswd -M wang.nan managers(3) 配置sudo文件,针对managers组开放useradd 、 userdel 等用户管理命令的权限# visudoCmns_Alias USER
7、ADM = /usr/sbin/useradd , /usr/sbin/userdel , /usr/sbin/usermod%managers localhost = USERADM(4) 使用wang账号登录,验证是否可以删除他、添加用户# su wang# whoami# sudo -l# sudo /usr/sbin/useradd user1# sudo /usr/sbin/usermod -p “ “ user1# sudo /usr/sbin/userdel -r user1文件和文件系统安全优化文件系统层次的安全优化1. 合理规划系统分区建议划分为独立分区的目录/boot :大
8、小建议在200M以上。/home :该目录是用户默认宿主目录所在的上一级文件夹,若服务器用户数量较多,通常无法预知每个用户所使用的磁盘空间大小/var : 该目录用于保存系统日志、运行状态、用户邮箱目录等,文件读写频繁。占用空间可能会较多/opt : 用于安装服务器的附加应用程序及其他可选工具,方便扩展使用2. 通过挂载选项禁止执行set位程序、二进制程序使/var分区中程序文件的执行(x)权限失效,禁止直接执行该分区中二进制程序# vi /etc/fstab/dev/sdc1 /var ext3 defaults,noexec 1 2# mount -o remount /var如果想要从文
9、件系统层面禁止文件的suid 或 sgid位权限,将上边的noexec改为nosuid即可3. 锁定不希望更改的系统文件使用 +i 属性锁定service 、passwd、grub.conf 文件(将不能正常添加系统用户)# chattr +i /etc/service /etc/passd /boot/grub.conf解除/etc/passwd文件的 +i 锁定属性# lsattr /etc/passwd /查看文件的属性状态# chattr -i /etc/passwd? 应用程序和服务1. 关闭不必要的系统服务2. 禁止普通用户执行init.d目录中的脚本# chmod -R o-rw
10、x /etc/init.d或# chmod -R 750 /etc/init.d3. 禁止普通用户执行控制台程序/etc/security/console.apps/目录下每一文件对应一个系统程序,如果不希望普通用户调用这些控制台程序,可以将对应的配置文件移除# cd /etc/security/console.apps/# tar jcpvf /etc/conhlp.pw.tar.bz2 poweroff halt reboot remove4. 去除程序文件中非必需的set-uid 或 set-gid 附加权限查找系统中设置了set-uid或set-gid权限的文件,并结合 exec 选项
11、显示这些文件的详细权限属性# find / -type f perm +6000 -exec ls -lh ;去掉程序文件的suid/sgid位权限# chmod a-s /tmp/back.vim编写shell脚本,检查系统中新增加的带有suid或者sgid位权限的程序文件(1) 在系统处于干净状态时,建立合法suid/sgid文件的列表,作为是否有新增可疑suid文件的比较依据# find / -type f -prem +6000 /etc/sfilelist# chmod 600 /etc/sfilelist(2) 建立chksfile脚本文件,与sfilelist比较,输出新增的带s
12、uid/sgid属性的文件# vi /usr/sbin/chksfile#!/bin/bashOLD_LIST=/etc/sfilelistfor i in find / -type -prem +6000 dogrep -F “$i” $OLD_LIST /dev/null $? -ne 0 & ls -lh $idone# chmod 700 /usr/bin/chkfile(3) 执行chkfile脚本,检查是否有新增suid/sgid文件# cp /bin/touch /bin/mytouch /建立测试用程序文件# chmod 4755 /bin/mytouch# chksfile
13、/执行程序脚本,输出检查结果系统引导和登录安全优化文件系统层次的安全优化1. 合理规划系统分区建议划分为独立分区的目录/boot :大小建议在200M以上。/home :该目录是用户默认宿主目录所在的上一级文件夹,若服务器用户数量较多,通常无法预知每个用户所使用的磁盘空间大小/var : 该目录用于保存系统日志、运行状态、用户邮箱目录等,文件读写频繁。占用空间可能会较多/opt : 用于安装服务器的附加应用程序及其他可选工具,方便扩展使用2. 通过挂载选项禁止执行set位程序、二进制程序使/var分区中程序文件的执行(x)权限失效,禁止直接执行该分区中二进制程序# vi /etc/fstab/
14、dev/sdc1 /var ext3 defaults,noexec 1 2# mount -o remount /var如果想要从文件系统层面禁止文件的suid 或 sgid位权限,将上边的noexec改为nosuid即可3. 锁定不希望更改的系统文件使用 +i 属性锁定service 、passwd、grub.conf 文件(将不能正常添加系统用户)# chattr +i /etc/service /etc/passd /boot/grub.conf解除/etc/passwd文件的 +i 锁定属性# lsattr /etc/passwd /查看文件的属性状态# chattr -i /etc
15、/passwd? 应用程序和服务1. 关闭不必要的系统服务2. 禁止普通用户执行init.d目录中的脚本# chmod -R o-rwx /etc/init.d或# chmod -R 750 /etc/init.d3. 禁止普通用户执行控制台程序/etc/security/console.apps/目录下每一文件对应一个系统程序,如果不希望普通用户调用这些控制台程序,可以将对应的配置文件移除# cd /etc/security/console.apps/# tar jcpvf /etc/conhlp.pw.tar.bz2 poweroff halt reboot remove4. 去除程序文件中非必需的set-uid 或 set-gid 附加权限查找系统中设置了set-uid或set-gid权限的文件,并结合 exec 选项显示这些文件的详细权限属性# find / -type f perm +6000 -exec ls -
