企业级 Linux 安全管理

1. 操作条件:

  (1)装有 Cent OS Linux 操作系统的虚拟机一台

2. 背景:
某企业有一台服务器,其信息如下:
(1) 该服务器上存在管理员 root,密码为 root,另存有一些具有 root 权限的
   其他账户,经确认这些账户长期未使用;
(2) “/secure”文件夹为公司开发部的重要文件夹,目前权限为所有人完全
  控制。实际使用需求为:只有 “develops”组的管理员“deadmin”和
  “develops”小组成员能对组进行任何操作;其他用户组只能查看。
(3) 服务器默认可以通过所有的 TTY 进行登录,并且 root 用户可以通过 SSH进行远程登录;
(4) 任何用户可以切换 su 登录。
3. 需求: 现需要对该服务器进行安全加固,减少攻击面:
(1) 防止黑客爆破 root 用户密码,并防止黑客通过其他管理员用户入侵的可能性。对新建账户强制要求8位以上的复杂密码,   并至少每两个月修改一次密码,到期前一个礼拜 醒客户修改密码;
(2) 防止未经授权的文件访问;
(3) 防止未经授权的 TTY 登录,仅留 1,2 两个 TTY 登录入口;
(4) 防止 root 用户直接远程登录;
(5) 防止因忘记注销而产生的安全问题,超时 5 分钟后自动注销; (6) 防止任意用户使用 su 切换成 root 账户;
(7) 防止账户文件被修改。
4. 具体要求:
(1) 找出并锁定未使用的管理员账户,并对管理员账户设置强密码 [email protected]; (2) 检查口令策略是否符合要求,并正确设置;
(3) 根据访问需求设置“/secure”文件夹权限;
(4) 正确部署登录策略(包括 TTY 登录、远程登录、和 su 切换限制);
(5) 正确设置自动注销;
(6) 正确限制 su 切换,仅限 wheel 组才能切换至 root; (7) 锁定账户文件防止被修改。
5. 操作步骤:
步骤1. 安全管理账户:
  (1) 为 root 用户设置强密码:打开终端,依次输入下列命令     passwd root
    [email protected]
    [email protected]
  (2) 找出 UID 为 0 的用户,并锁定:在终端中依次输入下列命令
    cat/etc/passwd //发现UID为0的用户为testadmin     passwd -l testadmin //锁定 testadmin 用户
  (3) 创建/secure 文件夹的使用账户和组:在终端中依次输入下列命令
    groupadd develops
    useradd -g develops deadmin
    passwd deadmin
    [email protected]
    [email protected] //这里密码任意

 步骤2. 文件系统安全管理:
  (1) 设置适当的用户文件权限:在终端中依次输入下列命令
    chown deadmin:develops /secure chmod 774 /secure
  步骤3. 系统加固
  (1) 设置口令策略:在终端中依次输入下列命令
    cat /etc/login.defs
    vi /etc/login.defs(按 i 进行编辑,qw 保存并推出) 修改如下行:
    PASS_MAX_DAYS 60
    PASS_MIN_DAYS 0
    PASS_MIN_LEN 8
    PASS_WARN_AGE 7
  (2) 防止 TTY 登录,仅留 1,2 两个 TTY 登录入口:在终端中输入下列命令
    vi /etc/inittab (按 i 进行编辑,qw 保存并推出) 注释如下行:
    #3:2345:respawn:/sbin/mingetty tty3     #4:2345:respawn:/sbin/mingetty tty4     #5:2345:respawn:/sbin/mingetty tty5     #6:2345:respawn:/sbin/mingetty tty6
  (3) 设置自动注销超时时间:在终端中输入下列命令
    vi /etc/profile (按 i 进行编辑,qw 保存并推出) 在 HISTSIZE=1000 下面加入行:
    TMOUT=300
  (4) 防止任意用户使用 su 切换到 root:在终端中输入下列命令
    vi /etc/pam.d/su (按 i 进行编辑,qw 保存并推出) 在头部加入行:
    auth required pam_wheel.so group=wheel
  (5) 防止 root 用户远程登录:在终端中输入下列命令
    vi /etc/ssh/sshd_config (按 i 进行编辑,qw 保存并推出) 修改如下行:
    PermitRootLogin no
  (6) 锁定账户文件:在终端中依次输入下列命令
    chattr +i /etc/passwd     chattr +i /etc/shadow     chattr +i /etc/gshadow     chattr +i /etc/group
时间: 2024-10-05 04:55:08

企业级 Linux 安全管理的相关文章

【CentOS】部署开源企业级Linux备份工具—BackupPC

BackupPC安装所需的主要的安装包下载地址:http://pan.baidu.com/s/1bnCGCY7 (BackupPC的版本为3.2.1) (该版本的BackupPC是支持中文的,BackupPC配置好后,可以在其Web页面设置其显示语言即可) 1.添加backuppc组及用户 groupadd   backuppc useradd   -g   backuppc   backuppc 2.安装httpd.mod_perl及BackupPC yum   install   httpd

十大企业级Linux服务器安全防护要点

随着开源系统Linux的盛行,其在大中型企业的应用也在逐渐普及,很多企业的应用服务都是构筑在其之上,例如Web服务.数据库服务.集群服务等等. 因此,Linux的安全性就成为了企业构筑安全应用的一个基础,是重中之重,如何对其进行安全防护是企业需要解决的一个基础性问题,基于此,本文将给出十大企业级Linux服务器安全防护的要点. 1.强化:密码管理 设定登录密码是一项非常重要的安全措施,如果用户的密码设定不合适,就很容易被破译,尤其是拥有超级用户使用权限的用户,如果没有良好的密码,将给系统造成很大

CentOS 7.1 中文正式版下载 - 最流行的免费开源企业级 Linux 服务器操作系统

如果说 Ubuntu 是现今最受桌面用户欢迎的 Linux 操作系统,那么 CentOS 就是最受公司.企业.IDC 喜爱的 Linux 发行版了.得益于极为出色的稳定性,全球范围内无数著名网站均选用它,异次元的服务器也是! CentOS 是基于 Red Hat Enterprise Linux (RHEL / 收费昂贵但口碑极佳) 的源代码再编译出来的免费版,因此不仅继承 RHEL 优越的稳定性(与 Debian 齐名),还提供免费更新,因此在服务器提供商.中小型公司中装机量几乎是最大的 Li

[51CTO]Linux入门到精通视频教程_企业级Linux运维视频教程_附课程配套资料[百度云盘]

通过本套实战课程的全程学习,能力跨越一个台阶,选择和努力决定薪资,向高级运维工程师迈进,通过本课程的学习,大家可以从懵懂到熟悉,从熟悉到熟练,能够在企业中熟练运用,同时在学习的过程中有任何不明白的地方,都可以向我咨询,我会积极帮助大家解决问题. 此视频资源由51CTO发布,微夏博客收集整理于网络,仅供学习交流,请于下载24小时内删除.如有侵权可联系微夏博客删除处理. 请支持原版!课程官方链接:http://edu.51cto.com/course/2157.html 课程目录: (微夏博客分享的

linux 安全管理之:SSH管理

linux 的SSH服务是永远开着的,容易被别人入侵,想要管理这个服务,就得改下面这个加粗红色的文件 [[email protected] ~]# cd /etc/ssh/ [[email protected] ssh]# lsmoduli ssh_config sshd_config ssh_host_dsa_key ssh_host_dsa_key.pub ssh_host_key ssh_host_key.pub ssh_host_rsa_key ssh_host_rsa_key.pub

Java(JDK)企业级Linux安装—阿里云服务器ECS64位

上一篇博文介绍了JDK在Windows10系统上面的安装过程,本文将介绍JDK在Linux系统安装过程. 环境说明: 操作系统 centos-release-7-3.1611.el7.centos.x86_64  JDK版本 jdk-8u11-linux-x64.tar.gz 查看Linux系统内核版本,通过远程终端连接Linux服务器,输入命令:rpm -q centos-release,如下图所示: 为了便于远程操作Linux服务器,这里介绍两个工具:Xshell和Xftp.这两个工具的安装

Linux安全管理

安全 ssl 功能     机密性 认证 完整性 重放保护 TLS协议工作在应用层的下层传输层的上层 TLS协议(也是大的协议集合)     Handshake协议:协商 服务器身份验证 密钥交换     ChangeCipherSpec协议:代表握手阶段已经完成 会发送消息通知     Alert协议:警报 warning(警告) fatal(高度危险)     Record协议:对消息认证和完整性保护 加密等     HTTPS协议:和ssl/tls协议的组合  https工作过程    

开学了!这些Linux认证你要知道。

导读 大家好,今天我们将认识一些非常有价值的全球认可的Linux认证.Linux认证是不同的Linux专业机构在全球范围内进行的认证程序.Linux认证可以让Linux专业人才可以在服务器领域或相关公司等等这些地方更容易获得Linux相关的工作. Linux认证评估一个人在Linux的各个领域里的专业程度.有很多不错的Linux专业机构提供不同的Linux认证.但是,在公司谋取一份工作时全球仅有少数被非常认可的Linux认证含金量很高,这些工作包括管理服务器,虚拟化,安装系统与软件,配置程序,应

Linux7企业级运维高端培训视频教程

国内首部Linux7企业级运维高端培训课程(Linux7系统.服务加固安全.虚拟化和云计算)课程讲师:博学金牌讲师 课程分类:套餐系列适合人群:中级课时数量:220课时更新程度:80%用到技术:Linux系统.服务加固安全.企业化和云计算.RH255和RHS333涉及项目:Linux系统.服务加固安全.虚拟化和云计算咨询qq:1840215592课程特色国内首部主讲Linux7系统的高端运维培训课程,2014年6月11日,官网发布Linux7,2014年10月7日,北京官方讲师培训认证,2014