收藏 分销(赏)

linux系统安全加固方案.docx

上传人:快乐****生活 文档编号:4460536 上传时间:2024-09-23 格式:DOCX 页数:15 大小:28.97KB 下载积分:8 金币
下载 相关 举报
linux系统安全加固方案.docx_第1页
第1页 / 共15页
linux系统安全加固方案.docx_第2页
第2页 / 共15页


点击查看更多>>
资源描述
linux系统安全加固方案 - 12 - 2020年4月19日 文档仅供参考 1概述 - 1 - 1.1适用范围 - 1 - 2用户账户安全加固 - 1 - 2.1修改用户密码策略 - 1 - 2.2锁定或删除系统中与服务运行,运维无关的的用户 - 1 - 2.3锁定或删除系统中不使用的组 - 2 - 2.4限制密码的最小长度 - 2 - 3用户登录安全设置 - 3 - 3.1禁止root用户远程登录 - 3 - 3.2设置远程ssh登录超时时间 - 3 - 3.3设置当用户连续登录失败三次,锁定用户30分钟 - 4 - 3.4设置用户不能使用最近五次使用过的密码 - 4 - 3.5设置登陆系统账户超时自动退出登陆 - 5 - 4系统安全加固 - 5 - 4.1关闭系统中与系统正常运行、业务无关的服务 - 5 - 4.2禁用“CTRL+ALT+DEL”重启系统 - 6 - 4.3加密grub菜单 - 6 - 1概述 1.1适用范围 本方案适用于银视通信息科技有限公司linux主机安全加固,供运维人员参考对linux主机进行安全加固。 2用户账户安全加固 2.1修改用户密码策略 (1)修改前备份配置文件:/etc/login.defs cp /etc/login.defs /etc/login.defs.bak (2)修改编辑配置文件:vi /etc/login.defs,修改如下配置: PASS_MAX_DAYS 90 (用户的密码不过期最多的天数) PASS_MIN_DAYS 0 (密码修改之间最小的天数) PASS_MIN_LEN 8 (密码最小长度) PASS_WARN_AGE 7 (口令失效前多少天开始通知用户更改密码) (3)回退操作 ~]# cp /etc/login.defs.bak /etc/login.defs 2.2锁定或删除系统中与服务运行,运维无关的的用户 (1)查看系统中的用户并确定无用的用户 ~]# more /etc/passwd (2)锁定不使用的账户(锁定或删除用户根据自己的需求操作一项即可) 锁定不使用的账户: ~]# usermod -L username 或删除不使用的账户: ~]# userdel -f username (3)回退操作 用户锁定后当使用时可解除锁定,解除锁定命令为: ~]# usermod -U username 2.3锁定或删除系统中不使用的组 (1)操作前备份组配置文件/etc/group ~]# cp /etc/group /etc/group.bak (2)查看系统中的组并确定不使用的组 ~]# cat /etc/group (3) 删除或锁定不使用的组 锁定不使用的组: 修改组配置文件/etc/group,在不使用的组前加“#”注释掉该组即可 删除不使用的组: ~]# groupdel groupname (4)回退操作 ~]# cp /etc/group.bak /etc/group 2.4限制密码的最小长度 (1) 操作前备份组配置文件/etc/pam.d/system-auth ~]# cp /etc/pam.d /etc/pam.d.bak (2) 设置密码的最小长度为8 修改配置文件/etc/pam.d,在行”password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=”中添加“minlen=8”,或使用sed修改: ~]# sed -i "s#password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=#password requisite pam_pwquality.so try_first_pass local_users_only retry=3 minlen=8 authtok_type=#g" /etc/pam.d/system-auth (3) 回退操作 ~]# cp /etc/pam.d.bak /etc/pam.d 3用户登录安全设置 3.1禁止root用户远程登录 (1)修改前备份ssh配置文件/etc/ssh/sshd_conf ~]# cp /etc/ssh/sshd_conf /etc/ssh/sshd_conf.bak (2)修改ssh服务配置文件不允许root用户远程登录 编辑/etc/ssh/sshd_config找到“#PermitRootLogin yes”去掉注释并修改为“PermitRootLogin no”或者使用sed修改,修改命令为: ~]# sed -i "s@#PermitRootLogin yes@PermitRootLogin no@g" /etc/ssh/sshd_config (3)修改完成后重启ssh服务 Centos6.x为: ~]# service sshd restart Centos7.x为: ~]# systemctl restart sshd.service (4)回退操作 ~]# cp /etc/ssh/sshd_config.bak /etc/ssh/sshd_config 3.2设置远程ssh登录超时时间 (1)修改前备份ssh服务配置文件/etc/ssh/sshd_config ~]# cp /etc/ssh/sshd_conf /etc/ssh/sshd_conf.bak (2)设置远程ssh登录长时间不操作退出登录 编辑/etc/ssh/sshd_conf将”#ClientAliveInterval 0”修改为”ClientAliveInterval 180”,将”#ClientAliveCountMax 3”去掉注释,或执行如下命令: ~]# sed -i "s@#ClientAliveInterval 0@ClientAliveInterval 180@g" /etc/ssh/sshd_config ~]# sed -i "s@#ClientAliveCountMax 3@ClientAliveCountMax 3@g" /etc/ssh/sshd_config (3)配置完成后保存并重启ssh服务 Centos6.x为: ~]# service sshd restart Centos7.x为: ~]# systemctl restart sshd.service (4)回退操作 ~]# cp /etc/ssh/sshd_config.bak /etc/ssh/sshd_config 3.3设置当用户连续登录失败三次,锁定用户30分钟 (1)配置前备份配置文件/etc/pam.d/sshd ~]# cp /etc/pam.d/sshd /etc/pam.d/sshd.bak (2)设置当用户连续输入密码三次时,锁定该用户30分钟 修改配置文件/etc/pam.d/sshd,在配置文件的第二行添加内容: auth required pam_tally2.so deny=3 unlock_time=300 (3)若修改配置文件出现错误,回退即可,回退操作: ~]# cp /etc/pam.d/sshd.bak /etc/pam.d/sshd 3.4设置用户不能使用最近五次使用过的密码 (1)配置前备份配置文件/etc/pam.d/sshd ~]# cp /etc/pam.d/system-auth /etc/pam.d/system-auth.bak (2)配置用户不能使用最近五次使用的密码 修改配置文件/etc/pam.d/sshd,找到行”password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok”,在最后加入remember=10,或使用sed修改 ~]# sed -i "s@#password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok@password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=10@g" /etc/ssh/sshd_config (3)回退操作 ~]# cp /etc/pam.d/sshd.bak /etc/pam.d/sshd 3.5设置登陆系统账户超时自动退出登陆 (1)设置登录系统的账号长时间不操作时自动登出 修改系统环境变量配置文件/etc/profile,在文件的末尾加入”TMOUT=180”,使登录系统的用户三分钟不操作系统时自动退出登录。 ~]# echo TMOUT=180 >>/etc/profile (2)使配置生效 执行命令: ~]# . /etc/profile #或 source /etc/profile (3)回退操作 删除在配置文件”/etc/profile”中添加的”TMOUT=180”,执行命令. /etc/profile使配置生效。 4系统安全加固 4.1关闭系统中与系统正常运行、业务无关的服务 (1)查看系统中的所有服务及运行级别,并确定哪些服务是与系统的正常运行及业务无关的服务。 ~]# chkconfig --list (2)关闭系统中不用的服务 ~]# chkconfig servername off (3)回退操作,如果意外关闭了与系统业务运行相关的服务,可将该服务开启 ~]# chkconfig servername on 4.2禁用“CTRL+ALT+DEL”重启系统 (1)rhel6.x中禁用“ctrl+alt+del”键重启系统 修改配置文件“/etc/init/control-alt-delete.conf”,注释掉行“start on control-alt-delete ”。或用sed命令修改: ~]# sed -i "s@start on control-alt-delete@#start on control-alt-delete@g" /etc/init/control-alt-delete.conf (2)rhel7.x中禁用“ctrl+alt+del”键重启系统 修改配置文件“/usr/lib/systemd/system/ctrl-alt-del.target”,注释掉所有内容。 (3)使修改的配置生效 ~]# init q 4.3加密grub菜单 1、 加密Redhat6.x grub菜单 (1) 备份配置文件/boot/grub/grub.conf ~]# cp /boot/grub/grub.conf /boot/grub/grub.conf.bak (2) 将密码生成秘钥 ~]# grub-md5-crypt Password: Retype password: $1$nCPeR/$mUKEeqnBp8G.P.Hrrreus. (3) 为grub加密 修改配置文件/boot/grub/grub.conf,在”timeout=5”行下加入”password --md5 $1$CgxdR/$9ipaqi8aVriEpF0nvfd8x.”,”$1$CgxdR/$9ipaqi8aVriEpF0nvfd8x.”为加密后的密码。 (4) 回退 ~]# cp /boot/grub/grub.conf /boot/grub/grub.conf.bak 或者删除加入行”password --md5 $1$CgxdR/$9ipaqi8aVriEpF0nvfd8x.” 2、加密redhat7.xgrub菜单 (1)在”/etc/grub.d/00_header”文件末尾,添加以下内容 cat <<EOFset superusers='admin' password admin qwe123 E0F (2)重新编译生成grub.cfg文件 ~]# grub2-mkconfig -o /boot/grub2/grub.cfg (3) 回退操作 删除/etc/grub.d/00_header中添加的内容,并重新编译生成grub.cfg文件
展开阅读全文

开通  VIP会员、SVIP会员  优惠大
下载10份以上建议开通VIP会员
下载20份以上建议开通SVIP会员


开通VIP      成为共赢上传

当前位置:首页 > 包罗万象 > 大杂烩

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        抽奖活动

©2010-2026 宁波自信网络信息技术有限公司  版权所有

客服电话:0574-28810668  投诉电话:18658249818

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :微信公众号    抖音    微博    LOFTER 

客服