linux系统安全系统安全常规优化培训讲学.doc

《linux系统安全系统安全常规优化培训讲学.doc》由会员分享，可在线阅读，更多相关《linux系统安全系统安全常规优化培训讲学.doc（9页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Good is good, but better carries it.精益求精，善益求善。linux系统安全系统安全常规优化-linux系统安全系统安全常规优化用户账号安全优化1禁用（锁定）zhangsan用户用passwdlroots2#passwd-lzhangsanLockingpasswordforuserzhangsan.passwd:Success或者直接修改shadow文件，密码字符串前加！roots2#vi/etc/shadowzhangsan:!:14724:0:99999:7:2、将不需要使用终端的用户的登录shell改为/sbin/nologinroots2#vi/et

2、c/passwdzhangsan:x:500:500:/home/zhangsan:/sbin/nologin或者roots2#usermod-s/sbin/nologinzhangsan3限制用户的密码有效期PASS_MAX_DAYS30/只对新建立的用户有效或者roots2#chage-M30zhangsan/只对已存在的用户有效4、指定用户在下次登录时必须修改密码roots2#chage-d0zhangsan或者zhangsan:!:0:0:30:7:第三列改为05、限制密码的最小长度roots2#vi/etc/pam.d/system-authpasswordrequisitepam_

3、cracklib.sotry_first_passretry=36、限制记录命令历史的条数roots2#vi/etc/profileHISTSIZE=10007、设置超时自动注销终端roots2#vi/etc/profileTMOUT=600使用su切换用户身份8、如何拒绝使用su切换用户roots2#vi/etc/pam.d/suauthrequiredpam_wheel.souse_uid9、允许zhangsan使用su切换用户roots2#gpasswd-azhangsanwheelAddinguserzhangsantogroupwheel使用sudo提升执行权限1、授权用户jerry

4、可以以root权限执行ifconfig名jerryALL=/sbin/ifconfig用户主机=命令绝对路径2、通过别名定义一组命令，并授权tom用户可以使用改组命令Cmnd_AliasSYSVCTRL=/sbin/service,/bin/kill,/bin/killalltomALL=SYSVCTRL3、授权wheel组的用户不需验证密码即可执行名令%wheelALL=(ALL)NOPASSWD:ALL*代表通配符！表示取反4、为sudo启用日志功能，将记录写入/var/log/sudo文件中Defaultslogfile=/var/log/sudolocal2.debug/var/log

5、/sudo修改系统日志配置文件roots2#servicesyslogrestart/重启syslog系统服务Shuttingdownkernellogger:OKShuttingdownsystemlogger:OKStartingsystemlogger:OKStartingkernellogger:OK5、使用sudo执行命令tom查看自己被授权使用命令，并使用sudo执行命令toms2$sudo-lPassword:Usertommayrunthefollowingcommandsonthishost:(root)/sbin/servicetoms2$sudo/sbin/service

6、httpdstart文件和文件系统安全优化1、锁定不希望改改的系统文件roots2#chattr+i/etc/services/etc/passwd/boot/grub/grub.conf2、解除/etc/passwd文件中的+i属性锁定roots2#chattr-i/etc/passwd3、关闭不必要的系统服务roots2#servicebluetoothstoproots2#chkconfigbluetoothoff4、禁止普通用户执行init.d目录中的脚本roots2#chmod-Ro-rwx/etc/init.d/或者roots2#chmod750/etc/init.d/5、禁止普通

7、用户执行poweroff、hallt、reboot控制台程序roots2console.apps#tar-jcpvf/etc/conhlp.pw.tar.bz2poweroffhaltreboot-removepoweroffhaltreboot6、查找系统中设置了set-uid或set-gid权限的文件，并结合”-exec”选项显示这些文件的详细权限属性。roots2console.apps#find/-typef-perm+600-execls-lh；7、去除程序文件的suid/sgid为权限drwsr-sr-t2rootroot4096Mar1818:20aaroots2#chmoda-

8、saa系统引导和登录安全优化1、阻止用户通过Ctrl+Alt+Delroots2#vi/etc/inittab#ca:ctrlaltdel:/sbin/shutdown-t3-rnow2、在grup.conf文件中设置明文密码roots2#vi/boot/grub/grub.confdefault=0timeout=5splashimage=(hd0,0)/grub/splash.xpm.gzhiddenmenupassword123456titleRedHatEnterpriseLinuxServer(2.6.18-8.el5)root(hd0,0)kernel/vmlinuz-2.6.18

9、-8.el5roroot=/dev/VolGroup00/LogVol00rhgbquietinitrd/initrd-2.6.18-8.el5.img3、在grup.cof文件中设置md5加密的密码字符串roots2#grub-md5-cryptPassword:Retypepassword:$1$x.20Z0$hY6SYWzlbDBnir./dS87o0roots2#vi/boot/grub/grub.confdefault=0timeout=5splashimage=(hd0,0)/grub/splash.xpm.gzhiddenmenupassword$1$x.20Z0$hY6SYWz

10、lbDBnir./dS87o0titleRedHatEnterpriseLinuxServer(2.6.18-8.el5)root(hd0,0)kernel/vmlinuz-2.6.18-8.el5roroot=/dev/VolGroup00/LogVol00rhgbquietinitrd/initrd-2.6.18-8.el5.img4、禁用tty4-tty6终端roots2#vi/etc/inittab1:2345:respawn:/sbin/mingettytty12:2345:respawn:/sbin/mingettytty23:2345:respawn:/sbin/mingetty

11、tty3#4:2345:respawn:/sbin/mingettytty4#5:2345:respawn:/sbin/mingettytty5#6:2345:respawn:/sbin/mingettytty65、禁止root用户从tty2-tty3终端roots2#vi/etc/securetty#tty2#tty36、将登录提示内容修改为“WelcometoServer”roots2#vi/etc/issueWelcometoServer7、禁止除了root以外的用户从tty1终端上登录系统roots2#vi/etc/pam.d/loginaccountrequiredpam_access.so/在pam配置文件login中添加认证支持roots2#vi/etc/security/access.conf-:ALLEXCEPTroot:tty18、禁止root用户从192.168.1.0/24网络登录roots2#vi/etc/pam.d/sshdaccountrequiredpam_access.so/添加pam配置文件sshd中添加认证支持roots2#vi/etc/security/access.conf-:root:192.168.1.0/24-