返回
linux网关及安全应用总结

linux网关及安全应用总结

ID:15159661

大小:95.00 KB

页数:6页

时间:2018-08-01

linux网关及安全应用总结_第1页
linux网关及安全应用总结_第2页
linux网关及安全应用总结_第3页
linux网关及安全应用总结_第4页
linux网关及安全应用总结_第5页
资源描述:

《linux网关及安全应用总结》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、第一章系统安全常规优化一、用户账号安全优化1、基本安全措施删除系统中不使用的用户和组passwd-lzhangsan或vi/etc/shadow(用户名前加!)userdellp确认程序或服务用户的登录shell不可用vi/etc/passwdusermod–s/sbin/nologinrpm限制用户的密码有效期(最大天数)vi/etc/login.defs(PASS_MAX_DAYS30)只对新建立的用户有效chage-M30zhangsan对已有用户有效指定用户在下次登录时必须修改密码Chage-d0zhangsan限制用

2、户密码的最小长度vi/etc/pam.d/system-authpasswordrequisitepam_cracklib.sotry_first_passretry=3minlen=12限制记录命令历史的条数HISTSIZE=100设置闲置超时自动注销终端vi/etc/profileexportTMOUT=6002、使用su切换切换用户身份gpasswd-azhangsanwheelvi/etc/pam.d/suauthrequiredpam_wheel.souse_uid3、使用sudo提升执行权限vi/etc/sudoe

3、rs或visudo用户主机名=(权限用户)NOPASSWD:命令列表lisilocalhost=/sbin/ifconfigjerrylocalhost=NOPASSWD:/sbin/ifconfig%wheelALL=(ALL)NOPASSWD:ALLzhangsanlocalhost=(lisi)NOPASSWD:ALL使用sudo执行命令(以jerry为例)sudo-lsudo/sbin/ifconfigeth010.0.0.1二、文件和文件系统安全优化1、文件系统层次的安全优化合理规划系统分区建议部分分区为独立的分区/

4、boot、/home、/var、/opt等通过挂载选项禁止执行set位程序、二进制程序vi/etc/fstab/dev/sdc1/varext3defaults,noexec12mount-oremount/var锁定不希望更改的系统文件chattr+i/etc/services/etc/passwd/boot/grub.conflsattr/etc/passwdchattr-i/etc/passwd1、应用程序和服务关闭不需要的系统服务,如cupsd、bluetooth等禁止普通用户执行init.d目录中的脚本chmod-R

5、o-rwx/etc/init.d或chmod-R750/etc/init.d/禁止普通用户执行控制台程序cd/etc/security/console.apps/tarjcpvf/etc/conheplpw.tar.bz2poweroffhaltreboot--remove去除程序文件中非必需的set-uid或set-gid附加权限find/-typef-perm+6000>/etc/sfilelistvi/usr/sbin/chksfile#!/bin/bashOLD_LIST=/etc/sfilelistforiin`fi

6、nd/-typef-perm+6000`dogrep-F“$i”$OLD_LIST>/dev/null[$?-ne0]&&ls-lh$idonechmod700/usr/bin/chksfile二、系统引导和登录安全优化1、开关机安全控制调整BIOS引导设置(只设置系统硬盘启动,并设置BIOS口令)防止用户Ctrl+Alt+Del热键重启系统(vi/etc/inittab)2、GRUB引导菜单加密vi/boot/grub/grub.conf添加password123456(可通过grub-md5-crypt生成加密字串)Pas

7、sword--md5加密字串3、终端及登录控制即时禁止普通用户登录:touch/etc/nologin控制服务器开放的tty终端vi/etc/inittab控制允许root用户登录的tty终端vi/etc/securetty更改系统登录提示,隐藏内核版本信息vi/etc/issue、vi/etc/issue.net使用pam_access认证控制用户登录地点禁止除了root以外的用户从tty1终端上登录系统vi/etc/pam.d/loginaccountrequiredpam_access.sovi/etc/security

8、/access.conf-:ALLEXCEPTroot:tty1禁止root用户从192.168.1.0/24、172.16.0.0/16网络中远程登录vi/etc/pam.d/sshdaccountrequiredpam_access.sovi/etc/security/a

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。