返回
服务器主机安全设置-Linux系统

服务器主机安全设置-Linux系统

ID:41089576

大小:41.50 KB

页数:4页

时间:2019-08-16

服务器主机安全设置-Linux系统_第1页
服务器主机安全设置-Linux系统_第2页
服务器主机安全设置-Linux系统_第3页
服务器主机安全设置-Linux系统_第4页
资源描述:

《服务器主机安全设置-Linux系统》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、附件二:Linux主机安全配置1安装安全补丁及时获得最新的安全补丁,经测试不会对系统上所运行的应用造成不良影响后,及时安装补丁程序。保持系统始终处于安装了必要的最新安全补丁状况。2设置合适的口令策略文件编辑/etc/login.defs文件,设置合适的口令策略文件,包括最小口令长度、口令使用期限等,例如设置“PASS_MIN_LEN8“,即默认的最小口令长度为8。/etc/login.defs:#PASS_MAX_DAYSMaximumnumberofdaysapasswordmaybeused.#

2、PASS_MIN_DAYSMinimumnumberofdaysallowedbetweenpasswordchanges.#PASS_MIN_LENMinimumacceptablepasswordlength.#PASS_WARN_AGENumberofdayswarninggivenbeforeapasswordexpires.PASS_MAX_DAYS90PASS_MIN_LEN8限制最大同时登录的会话数/etc/security/limits.conf中加入*hardmaxlogins8/

3、etc/pam.d/login中加入sessionrequired/lib64/security/pam_limits.so如是32位版的linux(uname–m检查操作系统版本),文件名应改为/lib/security/pam_limits.so需重启sshd服务(servicesshdrestart)。3帐号锁定/etc/pam.d/system-auth:(下面两条放到sufficient条目之前)authrequired/lib64/security/pam_tally.soonerr=f

4、ailaccountrequired/lib64/security/pam_tally.sodeny=30reset如是32位版的linux,文件名应改为/lib/security/pam_tally.so需重启sshd服务(servicesshdrestart)。1网络访问控制禁止root远程登录/etc/ssh/sshd_config:(修改下面两条,需重启servicesshdrestart)PermitRootLoginnoMaxAuthTries6屏蔽banner信息/etc/ssh/ss

5、hd_config:注释掉banner的相关条目#Banner/some/path2设置初始文件权限~/.bash_profile :(针对每一用户,该配置文件中增加一行)umask077#适用root用户,其它用户不可读umask022#适用非root用户,其它用户可读不可写3设置合适的历史命令数量编辑“/etc/profile”文件,确保HISTFILESIZE和HISTSIZE都设成了一个比较小的值。exportHISTSIZE=80exportHISTFILESIZE=804设置系统自动注销

6、帐号功能编辑/etc/profile文件,确保其中TMOUT参数设置了合适的值,例如600(10分钟),即可设置自动注销帐号功能。exportTMOUT=6001防止任何人使用su命令成为root(删除系统中多余的帐号,则不必做该项)如果不想任何人都可以用“su”命令成为root或只让某些用户有权使用“su”命令,须在“/etc/pam.d/su”文件的头部加入下面两行,确保只有“wheel”组的成员才能用su命令成为root:authsufficient/lib/security/pam_root

7、ok.sodebugauthrequired/lib/security/pam_wheel.sogroup=wheel然后使用“usermod-G10用户名“命令将需要su成为root的用户添加到wheel用户组。2关闭不必要的服务如果安装并运行了xinetd服务:(如果没有安装veritas备份软件客户端,建议关闭xinetd服务)(1)确保/etc/xinetd.d/目录下的文件的存取权限值为600、拥有者为root。(2)确保/etc/services文件的存取权限值设定为644、拥有者为ro

8、ot。(3)编辑/etc/xinetd.d/目录下的文件,关闭所有不需要的服务,例如ftp、telnet、shell、login、exec、talk、ntalk、imap、pop-2、pop-3、finger、echo、chargen、tftp以及一系列“r”服务(rsh、rlogin)。Ø编辑各种服务所对应的文件,确保“disable=yes”。Ø为了使对系统的改变生效,需要重新启动inetd进程。图形界面(serviceconf)关闭服务:echo,httpd,r

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。