返回
linux安全加固手册

linux安全加固手册

ID:9533184

大小:49.00 KB

页数:9页

时间:2018-05-03

linux安全加固手册_第1页
linux安全加固手册_第2页
linux安全加固手册_第3页
linux安全加固手册_第4页
linux安全加固手册_第5页
资源描述:

《linux安全加固手册》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、Linux安全加固  一.账户安全  1.1锁定系统中多余的自建帐号  检查方法:  执行命令  #cat/etc/passwd  #cat/etc/shadow  查看账户、口令文件,与系统管理员确认不必要的账号。对于一些保留的系统伪帐户如:bin,sys,adm,uucp,lp,nuucp,hpdb,www,daemon等可根据需要锁定登陆。  备份方法:  #cp-p/etc/passwd/etc/passwd_bak  #cp-p/etc/shadow/etc/shadow_bak  加固方法:  使用命令passwd-l<用户名>锁定不必要的账号。  使用命令passwd-u<

2、用户名>解锁需要恢复的账号。  风险: 需要与管理员确认此项操作不会影响到业务系统的登录  1.2设置系统口令策略  检查方法:  使用命令  #cat/etc/login.defs

3、grepPASS查看密码策略设置  备份方法:  cp-p/etc/login.defs/etc/login.defs_bak  加固方法:  #vi/etc/login.defs修改配置文件  PASS_MAX_DAYS90#新建用户的密码最长使用天数  PASS_MIN_DAYS0#新建用户的密码最短使用天数  PASS_WARN_AGE7#新建用户的密码到期提前提醒天数  PASS_MIN_LEN9#

4、最小密码长度9    1.3禁用root之外的超级用户  检查方法:  #cat/etc/passwd查看口令文件,口令文件格式如下:  login_name:password:user_ID:group_ID:comment:home_dir:command  login_name:用户名  password:加密后的用户密码  user_ID:用户ID,(1~6000)若用户ID=0,则该用户拥有超级用户的权限。查看此处是否有多个ID=0。  group_ID:用户组ID  comment:用户全名或其它注释信息  home_dir:用户根目录  command:用户登录后的执行命令

5、  备份方法:  #cp-p/etc/passwd/etc/passwd_bak  加固方法:  使用命令passwd-l<用户名>锁定不必要的超级账户。  使用命令passwd-u<用户名>解锁需要恢复的超级账户。  风险:需要与管理员确认此超级用户的用途。  1.4限制能够su为root的用户  检查方法:  #cat/etc/pam.d/su,查看是否有authrequired/lib/security/pam_wheel.so这样的配置条目  备份方法:#cp-p/etc/pam.d/etc/pam.d_bak  加固方法:  #vi/etc/pam.d/su  在头部添加:  

6、authrequired/lib/security/pam_wheel.sogroup=wheel  这样,只有wheel组的用户可以su到root  #usermod-G10test将test用户加入到wheel组  风险:需要PAM包的支持;对pam文件的修改应仔细检查,一旦出现错误会导致无法登陆;和管理员确认哪些用户需要su。  当系统验证出现问题时,首先应当检查/var/log/messages或者/var/log/secure中的输出信息,根据这些信息判断用户账号的有效性。如果是因为PAM验证故障,而引起root也无法登录,只能使用singleuser或者rescue模式进行排

7、错。  1.5检查shadow中空口令帐号  检查方法:  #awk-F:'(==""){print}'/etc/shadow  备份方法:cp-p/etc/shadow/etc/shadow_bak  加固方法:对空口令账号进行锁定,或要求增加密码  风险:要确认空口令账户是否和应用关联,增加密码是否会引起应用无法连接。  二、最小化服务  2.1停止或禁用与承载业务无关的服务  检查方法:  #who–r或runlevel查看当前init级别  #chkconfig--list查看所有服务的状态  备份方法:记录需要关闭服务的名称  加固方法:  #chkconfig--level<

8、服务名>on

9、off

10、reset设置服务在个init级别下开机是否启动  风险:某些应用需要特定服务,需要与管理员确认。  三、数据访问控制  3.1设置合理的初始文件权限  检查方法:  #cat/etc/profile查看umask的值  备份方法:  #cp-p/etc/profile/etc/profile_bak  加固方法:  #vi/etc/profile  umask=027  风险:会修改新建文件的默认权限,如果该

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。