Linux安全加固

1、检查shadow是否存在空口令用户和其他超级管理员用户:

awk -F: ‘($2 == "") { print $1 }‘ /etc/shadow
awk -F: ‘($3==0)‘ /etc/passwd

2、锁定系统中多余的自建(测试)帐号并备份

cat /etc/passwd  && cp /etc/passwd /etc/passwd.bak
cat /etc/shadow  && cp /etc/shadow /etc/shadow.bak
cp /etc/profile /etc/profile.bak

3、检查系统口令策略

cat /etc/login.defs|grep PASS
#PASS_MAX_DAYSMaximum number of days a password may be used.
#PASS_MIN_DAYSMinimum number of days allowed between password changes.
#PASS_MIN_LENMinimum acceptable password length.
#PASS_WARN_AGENumber of days warning given before a password expires.
PASS_MAX_DAYS99999
PASS_MIN_DAYS0
PASS_MIN_LEN5
PASS_WARN_AGE7

4、停用或禁用无关的服务

who -r            //查看当前的运行级别
chkconfig --list

5、设置访问控制策略

拒绝某些用户登录,允许某些用户登录,拒绝某些组登录,允许某些组登录

DenyUsers,AllowUsers,DenyGroups,AllowGroups
eg:DenyUsers aaa bbb        //禁用多个账户用空格隔开

如果只写AllowUsers表示如果这里不匹配就拒绝所用用户

PermitRootLogin no          //拒绝root用户登录
cp /etc/ssh/sshd_config   /etc/ssh/sshd_config.bak
grep Banner /etc/ssh/sshd_config
Banner /etc/ssh/ssh_login_banner
# Banner none        //取消banner消息
cat  /etc/ssh/ssh_login_banner
welcome to CentOS 6.5

看/etc/inittab里面有没有

#ca::ctrlaltdel:/sbin/shutdown -t3 -r now    //禁用ctrl+alt+del
vi /etc/pam.d/system-auth
auth required pam_tally.so onerr=fail deny=6 unlock_time=300      //密码连续输错6次,账户锁定300秒

vi /etc/profile

TMOUT=600           //无操作600秒自动退出
source /etc/profile
cat /etc/grub.conf|grep password     //查看grub是否设置密码

审计策略:

ps -aef | grep syslog |grep -v grep          //确认syslog是否启用
grep weekly /etc/logrotate.conf
# rotate log files weekly
weekly
grep 4 /etc/logrotate.conf
# keep 4 weeks worth of backlogs
rotate 4
cat /etc/logrotate.d/syslog
/var/log/cron
/var/log/maillog
/var/log/messages
/var/log/secure
/var/log/spooler
时间: 2024-11-10 15:07:49

Linux安全加固的相关文章

Linux服务器加固

一.信息安全防护的目标 *保密性,Confidentiality *完整性,Integrity 可用性,Usability 可控制性,Controlability 不可否认性,Non-repudiation 二.安全防护环节 物理安全:各种设备/主机.机房环境 系统安全:主机或设备的操作系统 应用安全:各种网络服务.应用程序 网络安全:对网络访问的控制.防火墙规则 数据安全:信息的备份与恢复.加密解密 管理安全:各种保障性的规范.流程.方法 网络&系统漏洞检测工具 X-Scan  . Fluxa

【安全运维】linux系统加固(第二部分),经测试可行

前言 接续系统加固第一部分未完的内容,第二部分主要涉及关闭多余的服务,用户账户的安全策略,以及内核网络参数的优化等等. <修改系统默认的账户密码策略> 这是通过编辑  /etc/login.defs  文件相关内容实现的.和前面一样的道理,修改前需要备份,然后把"鸡蛋"放在多个"篮子"里: [[email protected] 桌面]# cp -p  /etc/login.defs /etc/login.defs_backup 使用 vim 文本编辑器编

IT 安全概念&Linux 安全加固实施方案

1)学习 Linux 技术,主要的工作保证企业门户网站.业务系统.数据库安全.高效.稳定的运行,安全技能对运维人员的要求越来越高,一旦业务系统.数据库被heike攻破,所有数据被暴露在heike眼皮下: 2) 运维安全.IT 安全应该从哪些方面去考虑呢?如何才能做好运维安全呢? ? 硬件层面 IDC 机房.门禁.静电.消防设施.UPS 供电.机房温度.硬盘状态.电缆.网线.空凋: ? 软件层面 软件版本.程序代码.BUG 漏洞.程序权限.用户名.密码.数据库服务.后台植入: ? 系统层面 系统稳

linux 安全加固

---1.使用Shell历史命令记录功能 #/etc/bashrc HISTFILESIZE=4000 HISTSIZE=4000 HISTTIMEFORMAT='%F %T' export HISTTIMEFORMAT source /etc/bashrc ---2.删减系统登录欢迎信息 ---2.1删除记录了操作系统的名称和版本号 # vi /etc/ssh/sshd_config #添加如下记录 Banner /etc/issue.net ---2.2 删除全部内容或更新成自己想要添加的内

Linux操作系统加固

1. 账号和口令 1.1 禁用或删除无用账号 减少系统无用账号,降低安全风险. 操作步骤 使用命令 userdel <用户名> 删除不必要的账号. 使用命令 passwd -l <用户名> 锁定不必要的账号. 使用命令 passwd -u <用户名> 解锁必要的账号. 1.2 检查特殊账号 检查是否存在空口令和root权限的账号. 操作步骤 查看空口令和root权限账号,确认是否存在异常账号: 使用命令 awk -F: '($2=="")' /etc

阿里云Linux操作系统加固

更新时间: 2018-02-27 本帮助手册旨在指导系统管理人员或安全检查人员进行Linux操作系统的安全合规性检查和加固. 1. 账号和口令 1.1 禁用或删除无用账号 减少系统无用账号,降低安全风险. 操作步骤 使用命令 userdel <用户名> 删除不必要的账号. 使用命令 passwd -l <用户名> 锁定不必要的账号. 使用命令 passwd -u <用户名> 解锁必要的账号. 1.2 检查特殊账号 检查是否存在空口令和root权限的账号. 操作步骤 查看

linux系统优化加固

本文系统: [[email protected]~]# cat /etc/issue Red Hat Enterprise Linux Server release 5.8 (Tikanga) [[email protected] ~]# uname -a Linux xxxxxx 2.6.18-308.el5 #1 SMP Fri Jan 27 17:17:51 EST 2012 x86_64 x86_64 x86_64 GNU/Linux 优化一./etc/security/limits.c

LINUX安全加固规范

1 概述 近几年来Internet变得更加不安全了.网络的通信量日益加大,越来越多的重要交易正在通过网络完成,与此同时数据被损坏.截取和修改的风险也在增加. 只要有值得偷窃的东西就会有想办法窃取它的人.Internet的今天比过去任何时候都更真实地体现出这一点,基于Linux的系统也不能摆脱这个“普遍规律”而独善其身.因此,优秀的系统应当拥有完善的安全措施,应当足够坚固.能够抵抗来自Internet的侵袭,这正是Linux之所以流行并且成为Internet骨干力量的主要原因.但是,如果你不适当地

RedHat linux系统加固

检查是否配置ntp服务: 备份cp /etc/ntp.conf  /etc/ntp.conf.bal1105 编辑vi /etc/ntp.conf 插入restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap 启动ntpd服务:service ntpd start 检查口令策略设置是否符合复杂度要求 cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak vi /etc/pam.d/sy