返回
centos7_系统安全加固实施方案doc

centos7_系统安全加固实施方案doc

ID:347360

大小:109.00 KB

页数:12页

时间:2017-07-26

centos7_系统安全加固实施方案doc_第1页
centos7_系统安全加固实施方案doc_第2页
centos7_系统安全加固实施方案doc_第3页
centos7_系统安全加固实施方案doc_第4页
centos7_系统安全加固实施方案doc_第5页
资源描述:

《centos7_系统安全加固实施方案doc》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、CentOS7.0系统安全加固手册目录一、用户帐号和环境2二、系统访问认证和授权3三、核心调整4四、需要关闭的一些服务5五、SSH安全配置5六、封堵openssl的Heartbleed漏洞6七、开启防火墙策略6八、启用系统审计服务8九、部署完整性检查工具软件10十、部署系统监控环境11以下安全设置均是在CentOS7.0_x64环境下minimal安装进行的验证。一、用户帐号和环境检查项注释:1清除了operator、lp、shutdown、halt、games、gopher帐号删除的用户组有:lp、uucp、games、dip其它系

2、统伪帐号均处于锁定SHELL登录的状态2验证是否有账号存在空口令的情况:awk-F:'($2==""){print$1}'/etc/shadow3检查除了root以外是否还有其它账号的UID为0:awk-F:'($3==0){print$1}'/etc/passwd任何UID为0的账号在系统上都具有超级用户权限.4检查root用户的$PATH中是否有’.’或者所有用户/组用户可写的目录超级用户的$PATH设置中如果存在这些目录可能会导致超级用户误执行一个特洛伊木马5用户的home目录许可权限设置为700用户home目录的许可权限限制不

3、严可能会导致恶意用户读/修改/删除其它用户的数据或取得其它用户的系统权限6是否有用户的点文件是所有用户可读写的:fordirin`awk-F:'($3>=500){print$6}'/etc/passwd`doforfilein$dir/.[A-Za-z0-9]*doif[-f$file];thenchmodo-w$filefidonedoneUnix/Linux下通常以”.”开头的文件是用户的配置文件,如果存在所有用户可读/写的配置文件可能会使恶意用户能读/写其它用户的数据或取得其它用户的系统权限7为用户设置合适的缺省umask值

4、:cd/etcforfileinprofilecsh.logincsh.cshrcbashrcdoif[`grep-cumask$file`-eq0];thenecho"umask022">>$filefi为用户设置缺省的umask值有助于防止用户建立所有用户可写的文件而危及用户的数据.chownroot:root$filechmod444$filedone8设备系统口令策略:修改/etc/login.defs文件将PASS_MIN_LEN最小密码长度设置为12位。10限制能够su为root的用户:#vi/etc/pam.d/su在文

5、件头部添加下面这样的一行authrequiredpam_wheel.souse_uid这样,只有wheel组的用户可以su到root操作样例:#usermod-G10test将test用户加入到wheel组11修改别名文件/etc/aliases:#vi/etc/aliases注释掉不要的#games:root#ingres:root#system:root#toor:root#uucp:root#manager:root#dumper:root#operator:root#decode:root#root:marc修改后执行/usr

6、/bin/newaliases13修改帐户TMOUT值,设置自动注销时间vi/etc/profile增加TMOUT=600无操作600秒后自动退出14设置Bash保留历史命令的条数#vi/etc/profile修改HISTSIZE=5即只保留最新执行的5条命令16防止IPSPOOF:#vi/etc/host.conf添加:nospoofon不允许服务器对IP地址进行欺骗17使用日志服务器:#vi/etc/rsyslog.conf照以下样式修改*.info;mail.none;authpriv.none;cron.none@192.16

7、8.10.199这里只是作为参考,需要根据实际决定怎么配置参数二、系统访问认证和授权检查项注释:1限制at/cron给授权的用户:cd/etc/rm-fcron.denyat.denyCron.allow和at.allow文件列出了允许允许crontab和at命令的用户名单,echoroot>cron.allowechoroot>at.allowchownroot:rootcron.allowat.allowchmod400cron.allowat.allow在多数系统上通常只有系统管理员才需要运行这些命令5Crontab文件限制访问

8、权限:chownroot:root/etc/crontabchmod400/etc/crontabchown-Rroot:root/var/spool/cronchmod-Rgo-rwx/var/spool/cronch

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。