linux系统安全加固方案方针.doc

资源ID：2743891 资源大小：26.78KB 全文页数：9页
资源格式： DOC 下载积分：8金币

快捷下载

会员登录下载

微信登录下载

三方登录下载：

微信扫一扫登录

下载资源需要8金币

邮箱/手机：
温馨提示：	快捷下载时，用户名和密码都是您填写的邮箱或者手机号，方便查询和重复下载（系统自动生成）。如填写123，账号就是123，密码也是123。
支付方式：
验证码：	换一换

账号：
密码：
验证码：	换一换
当日自动登录忘记密码？

友情提示

1、下载资料失败解决办法

2、PDF文件下载后，可能会被浏览器默认打开，此种情况可以点击浏览器菜单，保存网页到桌面，就可以正常下载了。

3、本站不支持迅雷下载，请使用电脑自带的IE浏览器，或者360浏览器、谷歌浏览器下载即可。

4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩，下载后原文更清晰。

5、试题试卷类文档，如果标题没有明确说明有答案则都视为没有答案，请知晓。

网站客服

侵权投诉

linux系统安全加固方案方针.doc

/1概述- 1 -1.1适用范围- 1 -2用户账户安全加固- 1 -2.1修改用户密码策略- 1 -2.2锁定或删除系统中与服务运行，运维无关的的用户- 1 -2.3锁定或删除系统中不使用的组- 2 -2.4限制密码的最小长度- 2 -3用户登录安全设置- 3 -3.1禁止root用户远程登录- 3 -3.2设置远程ssh登录超时时间- 3 -3.3设置当用户连续登录失败三次，锁定用户30分钟- 4 -3.4设置用户不能使用最近五次使用过的密码- 4 -3.5设置登陆系统账户超时自动退出登陆- 5 -4系统安全加固- 5 -4.1关闭系统中与系统正常运行、业务无关的服务- 5 -4.2禁用“CTRL+ALT+DEL”重启系统- 6 -4.3加密grub菜单- 6 -1概述1.1适用范围本方案适用于银视通信息科技有限公司linux主机安全加固，供运维人员参考对linux主机进行安全加固。2用户账户安全加固2.1修改用户密码策略（1）修改前备份配置文件：/etc/login.defscp /etc/login.defs /etc/login.defs.bak（2）修改编辑配置文件：vi /etc/login.defs，修改如下配置：PASS_MAX_DAYS 90 （用户的密码不过期最多的天数）PASS_MIN_DAYS 0 （密码修改之间最小的天数）PASS_MIN_LEN 8 （密码最小长度）PASS_WARN_AGE 7 (口令失效前多少天开始通知用户更改密码)（3）回退操作# cp /etc/login.defs.bak /etc/login.defs2.2锁定或删除系统中与服务运行，运维无关的的用户（1）查看系统中的用户并确定无用的用户# more /etc/passwd（2）锁定不使用的账户（锁定或删除用户根据自己的需求操作一项即可）锁定不使用的账户：# usermod -L username 或删除不使用的账户：# userdel -f username（3）回退操作用户锁定后当使用时可解除锁定，解除锁定命令为：# usermod -U username2.3锁定或删除系统中不使用的组（1）操作前备份组配置文件/etc/group# cp /etc/group /etc/group.bak（2）查看系统中的组并确定不使用的组# cat /etc/group（3）删除或锁定不使用的组锁定不使用的组：修改组配置文件/etc/group，在不使用的组前加“#”注释掉该组即可删除不使用的组：# groupdel groupname（4）回退操作# cp /etc/group.bak /etc/group2.4限制密码的最小长度（1）操作前备份组配置文件/etc/pam.d/system-auth# cp /etc/pam.d /etc/pam.d.bak（2）设置密码的最小长度为8修改配置文件/etc/pam.d,在行”password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=”中添加“minlen=8”，或使用sed修改：# sed -i "s#password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=#password requisite pam_pwquality.so try_first_pass local_users_only retry=3 minlen=8 authtok_type=#g" /etc/pam.d/system-auth（3）回退操作# cp /etc/pam.d.bak /etc/pam.d3用户登录安全设置3.1禁止root用户远程登录（1）修改前备份ssh配置文件/etc/ssh/sshd_conf# cp /etc/ssh/sshd_conf /etc/ssh/sshd_conf.bak（2）修改ssh服务配置文件不允许root用户远程登录编辑/etc/ssh/sshd_config找到“#PermitRootLogin yes”去掉注释并修改为“PermitRootLogin no”或者使用sed修改，修改命令为：# sed -i "s#PermitRootLogin yesPermitRootLogin nog" /etc/ssh/sshd_config（3）修改完成后重启ssh服务Centos6.x为：# service sshd restartCentos7.x为：# systemctl restart sshd.service（4）回退操作# cp /etc/ssh/sshd_config.bak /etc/ssh/sshd_config3.2设置远程ssh登录超时时间（1）修改前备份ssh服务配置文件/etc/ssh/sshd_config# cp /etc/ssh/sshd_conf /etc/ssh/sshd_conf.bak（2）设置远程ssh登录长时间不操作退出登录编辑/etc/ssh/sshd_conf将”#ClientAliveInterval 0”修改为”ClientAliveInterval 180”，将”#ClientAliveCountMax 3”去掉注释，或执行如下命令：# sed -i "s#ClientAliveInterval 0ClientAliveInterval 180g" /etc/ssh/sshd_config# sed -i "s#ClientAliveCountMax 3ClientAliveCountMax 3g" /etc/ssh/sshd_config （3）配置完成后保存并重启ssh服务Centos6.x为：# service sshd restartCentos7.x为：# systemctl restart sshd.service（4）回退操作# cp /etc/ssh/sshd_config.bak /etc/ssh/sshd_config3.3设置当用户连续登录失败三次，锁定用户30分钟（1）配置前备份配置文件/etc/pam.d/sshd# cp /etc/pam.d/sshd /etc/pam.d/sshd.bak（2）设置当用户连续输入密码三次时，锁定该用户30分钟修改配置文件/etc/pam.d/sshd,在配置文件的第二行添加内容:auth required pam_tally2.so deny=3 unlock_time=300（3）若修改配置文件出现错误，回退即可，回退操作：# cp /etc/pam.d/sshd.bak /etc/pam.d/sshd3.4设置用户不能使用最近五次使用过的密码（1）配置前备份配置文件/etc/pam.d/sshd# cp /etc/pam.d/system-auth /etc/pam.d/system-auth.bak（2）配置用户不能使用最近五次使用的密码修改配置文件/etc/pam.d/sshd,找到行”password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok”，在最后加入remember=10，或使用sed修改# sed -i "s#password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtokpassword sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=10g" /etc/ssh/sshd_config （3）回退操作# cp /etc/pam.d/sshd.bak /etc/pam.d/sshd3.5设置登陆系统账户超时自动退出登陆（1）设置登录系统的账号长时间不操作时自动登出修改系统环境变量配置文件/etc/profile,在文件的末尾加入”TMOUT=180”,使登录系统的用户三分钟不操作系统时自动退出登录。 # echo TMOUT=180 >>/etc/profile（2）使配置生效执行命令： # . /etc/profile#或 source /etc/profile（3）回退操作删除在配置文件”/etc/profile”中添加的”TMOUT=180”，执行命令. /etc/profile使配置生效。4系统安全加固4.1关闭系统中与系统正常运行、业务无关的服务（1）查看系统中的所有服务及运行级别，并确定哪些服务是与系统的正常运行及业务无关的服务。# chkconfig -list （2）关闭系统中不用的服务# chkconfig servername off（3）回退操作，如果意外关闭了与系统业务运行相关的服务，可将该服务开启# chkconfig servername on4.2禁用“CTRL+ALT+DEL”重启系统（1）rhel6.x中禁用“ctrl+alt+del”键重启系统修改配置文件“/etc/init/control-alt-delete.conf”，注释掉行“start on control-alt-delete”。或用sed命令修改：# sed -i "sstart on control-alt-delete#start on control-alt-deleteg" /etc/init/control-alt-delete.conf （2）rhel7.x中禁用“ctrl+alt+del”键重启系统修改配置文件“/usr/lib/systemd/system/ctrl-alt-del.target”，注释掉所有内容。（3）使修改的配置生效# init q4.3加密grub菜单1、加密Redhat6.x grub菜单（1）备份配置文件/boot/grub/grub.conf# cp /boot/grub/grub.conf /boot/grub/grub.conf.bak（2）将密码生成秘钥# grub-md5-crypt Password: Retype password: $1$nCPeR/$mUKEeqnBp8G.P.Hrrreus.（3）为grub加密修改配置文件/boot/grub/grub.conf,在”timeout=5”行下加入”password -md5 $1$CgxdR/$9ipaqi8aVriEpF0nvfd8x.”，”$1$CgxdR/$9ipaqi8aVriEpF0nvfd8x.”为加密后的密码。（4）回退# cp /boot/grub/grub.conf /boot/grub/grub.conf.bak或者删除加入行”password -md5 $1$CgxdR/$9ipaqi8aVriEpF0nvfd8x.”2、加密redhat7.xgrub菜单（1）在”/etc/grub.d/00_header”文件末尾，添加以下内容cat <<EOFset superusers=adminpassword admin qwe123E0F（2）重新编译生成grub.cfg文件# grub2-mkconfig -o /boot/grub2/grub.cfg（3）回退操作删除/etc/grub.d/00_header中添加的内容，并重新编译生成grub.cfg文件

注意事项

本文（linux系统安全加固方案方针.doc）为本站会员（一***）主动上传，淘文阁 - 分享文档赚钱的网站仅提供信息存储空间，仅对用户上传内容的表现方式做保护处理，对上载内容本身不做任何修改或编辑。若此文所含内容侵犯了您的版权或隐私，请立即通知淘文阁 - 分享文档赚钱的网站（点击联系客服），我们立即给予删除！

温馨提示：如果因为网速或其他原因下载失败请重新下载，重复下载不扣分。