返回
centos65_系统安全加固实施方案

centos65_系统安全加固实施方案

ID:35531176

大小:77.48 KB

页数:12页

时间:2019-03-25

centos65_系统安全加固实施方案_第1页
centos65_系统安全加固实施方案_第2页
centos65_系统安全加固实施方案_第3页
centos65_系统安全加固实施方案_第4页
centos65_系统安全加固实施方案_第5页
资源描述:

《centos65_系统安全加固实施方案》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、CentOS6.5系统安全加固基础实施方案目录一、用户帐号和环境2二、系统访问认证和授权3三、核心调整4四、需要关闭的一些服务5五、SSH安全配置5六、封堵openssl的Heartbleed漏洞6七、开启防火墙策略6八、启用系统审计服务8九、部署完整性检査工具软件9十、部署系统监控环境10以卜安全设置均是在CentOS6.5_x86环境basicserverI、进行的验证。—、用户帐号和环境检査项注释:.清除了uu卬、operator、lp>shutdown>halt、games、gopher帐号删除的用户组有:Ip、uucp、games,dip其它系统伪帐号均处于锁定SHELL登录的状态

2、:Userdelgroupdel验证是否有账号存在空口令的情况:(awk:文本处理工具)awk-F:'($2=="*'){print$1}1/etc/shadow3检查除了root以外是否还有其它账号的UID为0:任何UID为0的账号在系统上都awk-F:'($3==0){print$1}f/etc/passwd具有超级用户权限.检查root用户的$PATH中是否有或者所有用户/组用户可写的目录超级用户的$PATH设置中如果47•存在这些目彖可能会导致超级用户误执行一个特洛伊木马用户的home目录许可权限设置为700用户homeHI录的许可权限限制chmod700home/H录(home是用

3、户H录的上V比,不能亢接修改,否则不严可能会导致恶意用户读/修其他用户将无法登陆,需更改其下子日录)改/删除其它用户的数据或取得其它用户的系统权限是否有用户的点文件是所有用户可读写的:Unix/Linux通常以”•”开头的文fordirin件是用户的配置文件,如果存在awk-F:'($3>=500){print$6}1/etc/passwd所有用户可读/写的配置文件可do能会使恶意用户能读/写其它用forfilein$dir/.[A-Za-zO-9]*户的数据或取得其它用户的系do统权限if[-f$file];thenchmodo-w$filefidonedone7为用户设置合适的缺省um

4、ask值:为用户设置缺省的umask值有助cd/etc于防止用户建立所有用户可写forfileinprofilecsh.logincsh.cshrcbashrc的文件而危及用户的数据.doif['grep-cumask$file"-eq0];thenecho"umask02211>>$filefichownroot:root$filechmod444$filedone设备系统口令策略:修改/etc/login.defs文件G将PASSMINLEN®小密码长度设置为12位。9设置系统口令复杂度:修A/etc/pam.d/system-auth文件下面这一行passwordrequisitepa

5、m_cracklib.sotry_firstjDassretry=3minlen(最下长度)=12dcredit(数字)=1ucredit(大写字母)=1Icredit(小写字母)=1ocredit(特殊符号)=1这里限制的是普通用户修改自己口令时的复杂度。这个设置对root是无效的。10限制能够su为root的用户:#vi/etc/pam.d/su在文件头部添加下面这样的一行authrequiredpam_wheel.souse_uid操作样例:#usermod-G(此处也可以是g)10(此处也町以是wheel)test将test用户加入到wheel组这样,只有wheel组的用户可以suf

6、ijroot否则需要密码11修改别名文件/etc/aliases:#vi/etc/aliases注释掉不要的#games:root#ingres:root#system:root#toor:root#uucp:root#manager:root#dumper:root#operator:root#decode:root#root:marc修改后执行/usr/bin/newaliases12设置帐户锁定登录失败锁定次数、锁定时间Vi/etc/pam.d/system-auth并增加F而一行内容authrequiredpam_tally2.soonerr=faildeny=6unlock_tim

7、e=300连续输入密码错谋6次,则H动锁定5分钟。解锁用户faillog-u<用户名〉・r13修改帐户TMOUT值,设置自动注销时间vi/etc/profile增加TMOUT=600(当某用户远程登录后,转为root用户再转为普通用户,则时间超出后回归为root,此命令对root无效)无操作600秒后自动退出14设置Bash保留历史命令的条数#vi/etc/profile修改HISTSIZE=5即只保留最新执

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。