欢迎来到天天文库
浏览记录
ID:40207452
大小:58.76 KB
页数:21页
时间:2019-07-25
《linux加固手册v1.0(试行版)》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、LINUX操作系统安全加固手册北京####有限公司版本v1.0.0目录1概述11.1适用范围11.2外部引用说明11.3术语和定义11.4符号和缩略语12LINUX主机安全加固12.1身份鉴别12.1.1为空口令用户设置密码12.1.2缺省密码长度限制22.1.3缺省密码生存周期限制22.1.4口令过期提醒22.1.5限制超级管理员远程登录32.1.6使用ssh加密传输32.2访问控制32.2.1为不同的管理员分配不同的账号32.2.2去除不需要的帐号、修改默认帐号的shell变量42.2.3对系统账号进行登录限制42.2.4除root之外UID为0的用户52.2.5设置关键目录的
2、权限52.2.6修改umask值52.2.7设置目录权限62.2.8设置关键文件的属性62.2.9对root为ls、rm设置别名72.2.10使用PAM禁止任何人su为root72.3安全审计82.3.1启用日志记录功能82.3.2记录系统安全事件82.3.3启用记录cron行为日志功能82.3.4增加ftpd审计功能92.4剩余信息保护92.5入侵防范92.5.1设置访问控制列表92.5.2更改主机解析地址的顺序102.5.3打开syncookie102.5.4不响应ICMP请求112.5.5防syn攻击优化112.5.6补丁装载112.5.7关闭无效服务112.5.8关闭无效服
3、务和进程自动启132.5.9禁止/etc/rc.d/init.d下某些脚本的执行132.5.10加固snmp服务13前言-I-2.5.11修改ssh端口142.6恶意代码防范142.7资源控制152.7.1隐藏系统提示信息152.7.2设置登录超时时间152.7.3资源限制163推荐安装工具17前言-I-前言近几年来Internet变得更加不安全了。网络的通信量日益加大,越来越多的重要交易正在通过网络完成,与此同时数据被损坏、截取和修改的风险也在增加。只要有值得偷窃的东西就会有想办法窃取它的人。Internet的今天比过去任何时候都更真实地体现出这一点,基于Linux的系统也不能摆
4、脱这个“普遍规律”而独善其身。因此,优秀的系统应当拥有完善的安全措施,应当足够坚固、能够抵抗来自Internet的侵袭,这正是Linux之所以流行并且成为Internet骨干力量的主要原因。但是,如果你不适当地运用Linux的安全工具,它们反而会埋下隐患。配置拙劣的安全系统会产生许多问题,本文将为你解释必须掌握的Linux安全知识。 本文讲述了如何通过基本的安全措施,使Linux系统变得可靠。前言-I-1概述1.1适用范围1.2外部引用说明1.3术语和定义1.4符号和缩略语(对于规范出现的英文缩略语或符号在这里统一说明。)缩写英文描述中文描述正文第17页/共17页1LINUX主机安
5、全加固本规范所指的设备为采用LINUX操作系统的设备。本规范提出的安全配置要求,在未特别说明的情况下,均适用于采用LINUX操作系统的设备。本规范从运行LINUX操作系统设备的身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制七个方面提出安全配置要求。1.1身份鉴别1.1.1为空口令用户设置密码实施目的禁止空口令用户,存在空口令是很危险的,用户不用口令认证就能进入系统检测方法查看文件中每行的第二个值是为空还是“X”,“X”则有密码,空则为无密码。如example::3:3:example:/bin/example操作指南root身份登录后,在命令行状态下可
6、直接输入命令,或在图形界面状态下右键点击桌面空白处,选择“打开终端”,执行下列命令#cat/etc/passwd查看文件中每行的第二个值是为空还是“X”,“X”则有密码,空则为无密码。使用passwd命令,给空密码的用户添加密码。1.1.2缺省密码长度限制实施目的防止系统弱口令的存在,减少安全隐患。对于采用静态口令认证技术的设备,口令长度至少8位。检测方法cat/etc/login.defs查看是否有如下行:PASS_MIN_LEN8操作指南1、参考配置操作#vi/etc/login.defs把下面这行PASS_MIN_LEN5改为PASS_MIN_LEN8正文第17页/共17页1
7、.1.1缺省密码生存周期限制实施目的对于采用静态口令认证技术的设备,帐户口令的生存期不长于90天,减少口令安全隐患。检测方法运行cat/etc/login.defs查看是否有如下行:PASS_MAX_DAYS90PASS_MIN_DAYS0操作指南1、参考配置操作#vi/etc/login.defsPASS_MAX_DAYS90PASS_MIN_DAYS01.1.2口令过期提醒实施目的口令到期前多少天开始通知用户口令即将到期检测方法运行cat/etc/login.de
此文档下载收益归作者所有