Linux系統(tǒng)安全加固手冊1教學(xué)文案

1、Good is good, but better carries it.精益求精，善益求善。Linux系統(tǒng)安全加固手冊1-RedHatLinux系統(tǒng)安全加固一.賬戶安全1.1鎖定系統(tǒng)中多余的自建帳號(hào)檢查方法:執(zhí)行命令#cat/etc/passwd#cat/etc/shadow查看賬戶、口令文件，與系統(tǒng)管理員確認(rèn)不必要的賬號(hào)。對于一些保留的系統(tǒng)偽帳戶如：bin,sys，adm，uucp，lp,nuucp，hpdb,www,daemon等可根據(jù)需要鎖定登陸。備份方法：#cp-p/etc/passwd/etc/passwd_bak#cp-p/etc/shadow/etc/shadow_bak加固方法

2、:使用命令passwd-l鎖定不必要的賬號(hào)。使用命令passwd-u解鎖需要恢復(fù)的賬號(hào)。圖1風(fēng)險(xiǎn):需要與管理員確認(rèn)此項(xiàng)操作不會(huì)影響到業(yè)務(wù)系統(tǒng)的登錄1.2設(shè)置系統(tǒng)口令策略檢查方法：使用命令#cat/etc/login.defs|grepPASS查看密碼策略設(shè)置備份方法：cp-p/etc/login.defs/etc/login.defs_bak加固方法：#vi/etc/login.defs修改配置文件PASS_MAX_DAYS90#新建用戶的密碼最長使用天數(shù)PASS_MIN_DAYS0#新建用戶的密碼最短使用天數(shù)PASS_WARN_AGE7#新建用戶的密碼到期提前提醒天數(shù)PASS_MIN_LEN

3、9#最小密碼長度9圖2風(fēng)險(xiǎn)：無可見風(fēng)險(xiǎn)1.3禁用root之外的超級用戶檢查方法：#cat/etc/passwd查看口令文件，口令文件格式如下：login_name：password：user_ID：group_ID：comment：home_dir：commandlogin_name：用戶名password：加密后的用戶密碼user_ID：用戶ID，(16000)若用戶ID=0，則該用戶擁有超級用戶的權(quán)限。查看此處是否有多個(gè)ID=0。group_ID：用戶組IDcomment：用戶全名或其它注釋信息home_dir：用戶根目錄command：用戶登錄后的執(zhí)行命令備份方法：#cp-p/etc/p

4、asswd/etc/passwd_bak加固方法：使用命令passwd-l鎖定不必要的超級賬戶。使用命令passwd-u解鎖需要恢復(fù)的超級賬戶。風(fēng)險(xiǎn)：需要與管理員確認(rèn)此超級用戶的用途。1.4限制能夠su為root的用戶檢查方法：#cat/etc/pam.d/su,查看是否有authrequired/lib/security/pam_wheel.so這樣的配置條目備份方法：#cp-p/etc/pam.d/etc/pam.d_bak加固方法：#vi/etc/pam.d/su在頭部添加：authrequired/lib/security/pam_wheel.sogroup=wheel這樣，只有whe

5、el組的用戶可以su到root#usermod-G10test將test用戶加入到wheel組圖3風(fēng)險(xiǎn)：需要PAM包的支持;對pam文件的修改應(yīng)仔細(xì)檢查，一旦出現(xiàn)錯(cuò)誤會(huì)導(dǎo)致無法登陸;和管理員確認(rèn)哪些用戶需要su。當(dāng)系統(tǒng)驗(yàn)證出現(xiàn)問題時(shí)，首先應(yīng)當(dāng)檢查/var/log/messages或者/var/log/secure中的輸出信息，根據(jù)這些信息判斷用戶賬號(hào)的有效性。如果是因?yàn)镻AM驗(yàn)證故障，而引起root也無法登錄，只能使用singleuser或者rescue模式進(jìn)行排錯(cuò)。1.5檢查shadow中空口令帳號(hào)檢查方法：#awk-F:(=)print/etc/shadow備份方法：cp-p/etc/sh

6、adow/etc/shadow_bak加固方法：對空口令賬號(hào)進(jìn)行鎖定，或要求增加密碼圖4風(fēng)險(xiǎn)：要確認(rèn)空口令賬戶是否和應(yīng)用關(guān)聯(lián)，增加密碼是否會(huì)引起應(yīng)用無法連接。二、最小化服務(wù)2.1停止或禁用與承載業(yè)務(wù)無關(guān)的服務(wù)檢查方法：#whor或runlevel查看當(dāng)前init級別#chkconfig-list查看所有服務(wù)的狀態(tài)備份方法：記錄需要關(guān)閉服務(wù)的名稱加固方法：#chkconfig-levelon|off|reset設(shè)置服務(wù)在個(gè)init級別下開機(jī)是否啟動(dòng)圖5風(fēng)險(xiǎn)：某些應(yīng)用需要特定服務(wù)，需要與管理員確認(rèn)。三、數(shù)據(jù)訪問控制3.1設(shè)置合理的初始文件權(quán)限檢查方法：#cat/etc/profile查看umask

7、的值備份方法：#cp-p/etc/profile/etc/profile_bak加固方法：#vi/etc/profileumask=027風(fēng)險(xiǎn)：會(huì)修改新建文件的默認(rèn)權(quán)限，如果該服務(wù)器是WEB應(yīng)用，則此項(xiàng)謹(jǐn)慎修改。四、網(wǎng)絡(luò)訪問控制4.1使用SSH進(jìn)行管理檢查方法：#psaef|grepsshd查看有無此服務(wù)備份方法：加固方法：使用命令開啟ssh服務(wù)#servicesshdstart風(fēng)險(xiǎn)：改變管理員的使用習(xí)慣4.2設(shè)置訪問控制策略限制能夠管理本機(jī)的IP地址檢查方法：#cat/etc/ssh/sshd_config查看有無AllowUsers的語句備份方法：#cp-p/etc/ssh/sshd_co

8、nfig/etc/ssh/sshd_config_bak加固方法：#vi/etc/ssh/sshd_config，添加以下語句AllowUsers*10.138.*.*此句意為：僅允許/16網(wǎng)段所有用戶通過ssh訪問保存后重啟ssh服務(wù)#servicesshdrestart風(fēng)險(xiǎn)：需要和管理員確認(rèn)能夠管理的IP段4.3禁止root用戶遠(yuǎn)程登陸檢查方法：#cat/etc/ssh/sshd_config查看PermitRootLogin是否為no備份方法：#cp-p/etc/ssh/sshd_config/etc/ssh/sshd_config_bak加固方法：#vi/etc/ssh/sshd_co

9、nfigPermitRootLoginno保存后重啟ssh服務(wù)servicesshdrestart圖6風(fēng)險(xiǎn)：root用戶無法直接遠(yuǎn)程登錄，需要用普通賬號(hào)登陸后su4.4限定信任主機(jī)檢查方法：#cat/etc/hosts.equiv查看其中的主機(jī)#cat/$HOME/.rhosts查看其中的主機(jī)備份方法：#cp-p/etc/hosts.equiv/etc/hosts.equiv_bak#cp-p/$HOME/.rhosts/$HOME/.rhosts_bak加固方法：#vi/etc/hosts.equiv刪除其中不必要的主機(jī)#vi/$HOME/.rhosts刪除其中不必要的主機(jī)風(fēng)險(xiǎn)：在多機(jī)互備的

10、環(huán)境中，需要保留其他主機(jī)的IP可信任。4.5屏蔽登錄banner信息檢查方法：#cat/etc/ssh/sshd_config查看文件中是否存在Banner字段，或banner字段為NONE#cat/etc/motd查看文件內(nèi)容，該處內(nèi)容將作為banner信息顯示給登錄用戶。備份方法：#cp-p/etc/ssh/sshd_config/etc/ssh/sshd_config_bak#cp-p/etc/motd/etc/motd_bak加固方法：#vi/etc/ssh/sshd_configbannerNONE#vi/etc/motd刪除全部內(nèi)容或更新成自己想要添加的內(nèi)容風(fēng)險(xiǎn)：無可見風(fēng)險(xiǎn)4.6防

11、止誤使用Ctrl+Alt+Del重啟系統(tǒng)檢查方法：#cat/etc/inittab|grepctrlaltdel查看輸入行是否被注釋備份方法：#cp-p/etc/inittab/etc/inittab_bak加固方法：#vi/etc/inittab在行開頭添加注釋符號(hào)“#”#ca:ctrlaltdel:/sbin/shutdown-t3-rnow圖7風(fēng)險(xiǎn)：無可見風(fēng)險(xiǎn)五、用戶鑒別5.1設(shè)置帳戶鎖定登錄失敗鎖定次數(shù)、鎖定時(shí)間檢查方法：#cat/etc/pam.d/system-auth查看有無authrequiredpam_tally.so條目的設(shè)置備份方法：#cp-p/etc/pam.d/sys

12、tem-auth/etc/pam.d/system-auth_bak加固方法：#vi/etc/pam.d/system-authauthrequiredpam_tally.soonerr=faildeny=6unlock_time=300設(shè)置為密碼連續(xù)錯(cuò)誤6次鎖定，鎖定時(shí)間300秒解鎖用戶faillog-u-r風(fēng)險(xiǎn)：需要PAM包的支持;對pam文件的修改應(yīng)仔細(xì)檢查，一旦出現(xiàn)錯(cuò)誤會(huì)導(dǎo)致無法登陸;當(dāng)系統(tǒng)驗(yàn)證出現(xiàn)問題時(shí)，首先應(yīng)當(dāng)檢查/var/log/messages或者/var/log/secure中的輸出信息，根據(jù)這些信息判斷用戶賬號(hào)的有效性。5.2修改帳戶TMOUT值，設(shè)置自動(dòng)注銷時(shí)間檢查方法：

13、#cat/etc/profile查看有無TMOUT的設(shè)置備份方法：#cp-p/etc/profile/etc/profile_bak加固方法：#vi/etc/profile增加TMOUT=600無操作600秒后自動(dòng)退出風(fēng)險(xiǎn)：無可見風(fēng)險(xiǎn)5.3Grub/Lilo密碼檢查方法：#cat/etc/grub.conf|greppassword查看grub是否設(shè)置密碼#cat/etc/lilo.conf|greppassword查看lilo是否設(shè)置密碼備份方法：#cp-p/etc/grub.conf/etc/grub.conf_bak#cp-p/etc/lilo.conf/etc/lilo.conf_ba

14、k加固方法：為grub或lilo設(shè)置密碼風(fēng)險(xiǎn)：etc/grub.conf通常會(huì)鏈接到/boot/grub/grub.conf5.4限制FTP登錄檢查方法：#cat/etc/ftpusers確認(rèn)是否包含用戶名，這些用戶名不允許登錄FTP服務(wù)備份方法：#cp-p/etc/ftpusers/etc/ftpusers_bak加固方法：#vi/etc/ftpusers添加行，每行包含一個(gè)用戶名，添加的用戶將被禁止登錄FTP服務(wù)風(fēng)險(xiǎn)：無可見風(fēng)險(xiǎn)5.5設(shè)置Bash保留歷史命令的條數(shù)檢查方法：#cat/etc/profile|grepHISTSIZE=#cat/etc/profile|grepHISTFILE

15、SIZE=查看保留歷史命令的條數(shù)備份方法：#cp-p/etc/profile/etc/profile_bak加固方法：#vi/etc/profile修改HISTSIZE=5和HISTFILESIZE=5即保留最新執(zhí)行的5條命令圖8風(fēng)險(xiǎn)：無可見風(fēng)險(xiǎn)六、審計(jì)策略6.1配置系統(tǒng)日志策略配置文件檢查方法：#psaef|grepsyslog確認(rèn)syslog是否啟用#cat/etc/syslog.conf查看syslogd的配置，并確認(rèn)日志文件是否存在系統(tǒng)日志(默認(rèn))/var/log/messagescron日志(默認(rèn))/var/log/cron安全日志(默認(rèn))/var/log/secure備份方法：#cp-p/etc/syslog.conf圖96.2為審計(jì)產(chǎn)生的數(shù)據(jù)分配合理的存儲(chǔ)空間和存儲(chǔ)時(shí)間檢查方法：#cat/etc/logrotate.conf查看系統(tǒng)輪詢配置，有無#rotatelogfilesweeklyweekly#keep4weeksworthofbacklogsrotate4的配置備份方法：#cp-p/etc/logrotate.conf/etc/logrotate.conf_bak加固方法：#vi/etc/logrotate.d/syslog增加rotate4日志文件保存?zhèn)€數(shù)為4，當(dāng)?shù)?個(gè)