linux系统安全系统加固方案设计3103.pdf

《linux系统安全系统加固方案设计3103.pdf》由会员分享，可在线阅读，更多相关《linux系统安全系统加固方案设计3103.pdf（8页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、实用文档 文案大全 1 概述.-1-1.1 适用范围.-1-2 用户账户安全加固.-1-2.1 修改用户密码策略.-1-2.2 锁定或删除系统中与服务运行，运维无关的的用户.-1-2.3 锁定或删除系统中不使用的组.-2-2.4 限制密码的最小长度.-2-3 用户登录安全设置.-3-3.1 禁止 root 用户远程登录.-3-3.2 设置远程 ssh 登录超时时间.-3-3.3 设置当用户连续登录失败三次，锁定用户 30 分钟.-4-3.4 设置用户不能使用最近五次使用过的密码.-4-3.5 设置登陆系统账户超时自动退出登陆.-5-4 系统安全加固.-5-4.1 关闭系统中与系统正常运行、业务

2、无关的服务.-5-4.2 禁用“CTRL+ALT+DEL”重启系统.-6-4.3 加密 grub菜单.-6-实用文档 文案大全 1 概述 1.1 适用范围 本方案适用于银视通信息科技有限公司 linux 主机安全加固，供运维人员参考对 linux主机进行安全加固。2 用户账户安全加固 2.1 修改用户密码策略（1）修改前备份配置文件：/etc/login.defs cp/etc/login.defs/etc/login.defs.bak（2）修改编辑配置文件：vi/etc/login.defs，修改如下配置：PASS_MAX_DAYS 90（用户的密码不过期最多的天数）PASS_MIN_DAY

3、S 0（密码修改之间最小的天数）PASS_MIN_LEN 8（密码最小长度）PASS_WARN_AGE 7 (口令失效前多少天开始通知用户更改密码)（3）回退操作#cp/etc/login.defs.bak/etc/login.defs 2.2 锁定或删除系统中与服务运行，运维无关的的用户（1）查看系统中的用户并确定无用的用户#more/etc/passwd（2）锁定不使用的账户（锁定或删除用户根据自己的需求操作一项即可）锁定不使用的账户：#usermod-L username 或删除不使用的账户：实用文档 文案大全#userdel-f username（3）回退操作 用户锁定后当使用时可解除

4、锁定，解除锁定命令为：#usermod-U username 2.3 锁定或删除系统中不使用的组（1）操作前备份组配置文件/etc/group#cp/etc/group/etc/group.bak（2）查看系统中的组并确定不使用的组#cat/etc/group（3）删除或锁定不使用的组 锁定不使用的组：修改组配置文件/etc/group，在不使用的组前加“#”注释掉该组即可 删除不使用的组：#groupdel groupname （4）回退操作#cp/etc/group.bak/etc/group 2.4 限制密码的最小长度（1）操作前备份组配置文件/etc/pam.d/system-auth

5、#cp/etc/pam.d/etc/pam.d.bak（2）设置密码的最小长度为 8 修改配置文件/etc/pam.d,在行”password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=”中添加“minlen=8”，或使用 sed 修改：实用文档 文案大全#sed-i s#password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=#password requi

6、site pam_pwquality.so try_first_pass local_users_only retry=3 minlen=8 authtok_type=#g/etc/pam.d/system-auth（3）回退操作#cp/etc/pam.d.bak/etc/pam.d 3 用户登录安全设置 3.1 禁止 root 用户远程登录（1）修改前备份 ssh 配置文件/etc/ssh/sshd_conf#cp/etc/ssh/sshd_conf/etc/ssh/sshd_conf.bak（2）修改 ssh服务配置文件不允许 root用户远程登录 编辑/etc/ssh/sshd_conf

7、ig找到“#PermitRootLogin yes”去掉注释并修改为“PermitRootLogin no”或者使用 sed修改，修改命令为：#sed-i s#PermitRootLogin yesPermitRootLogin nog/etc/ssh/sshd_config（3）修改完成后重启 ssh 服务 Centos6.x 为：#service sshd restart Centos7.x 为：#systemctl restart sshd.service（4）回退操作#cp/etc/ssh/sshd_config.bak/etc/ssh/sshd_config 3.2 设置远程 ssh

8、 登录超时时间（1）修改前备份 ssh 服务配置文件/etc/ssh/sshd_config#cp/etc/ssh/sshd_conf/etc/ssh/sshd_conf.bak 实用文档 文案大全（2）设置远程 ssh 登录长时间不操作退出登录 编辑/etc/ssh/sshd_conf将”#ClientAliveInterval 0”修改为”ClientAliveInterval 180”，将”#ClientAliveCountMax 3”去掉注释，或执行如下命令：#sed-i s#ClientAliveInterval 0ClientAliveInterval 180g/etc/ssh/s

9、shd_config#sed-i s#ClientAliveCountMax 3ClientAliveCountMax 3g/etc/ssh/sshd_config （3）配置完成后保存并重启 ssh 服务 Centos6.x 为：#service sshd restart Centos7.x 为：#systemctl restart sshd.service（4）回退操作#cp/etc/ssh/sshd_config.bak/etc/ssh/sshd_config 3.3 设置当用户连续登录失败三次，锁定用户 30 分钟（1）配置前备份配置文件/etc/pam.d/sshd#cp/etc/p

10、am.d/sshd/etc/pam.d/sshd.bak（2）设置当用户连续输入密码三次时，锁定该用户30分钟 修改配置文件/etc/pam.d/sshd,在配置文件的第二行添加内容:auth required pam_tally2.so deny=3 unlock_time=300（3）若修改配置文件出现错误，回退即可，回退操作：#cp/etc/pam.d/sshd.bak/etc/pam.d/sshd 3.4 设置用户不能使用最近五次使用过的密码（1）配置前备份配置文件/etc/pam.d/sshd#cp /etc/pam.d/system-auth /etc/pam.d/system-a

11、uth.bak 实用文档 文案大全（2）配置用户不能使用最近五次使用的密码 修改配置文件/etc/pam.d/sshd,找到行”password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok”，在最后加入 remember=10，或使用 sed 修改#sed-i s#password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtokpassword sufficient pam_unix.so sha512

12、shadow nullok try_first_pass use_authtok remember=10g/etc/ssh/sshd_config （3）回退操作#cp /etc/pam.d/sshd.bak /etc/pam.d/sshd 3.5 设置登陆系统账户超时自动退出登陆（1）设置登录系统的账号长时间不操作时自动登出 修改系统环境变量配置文件/etc/profile,在文件的末尾加入”TMOUT=180”,使登录系统的用户三分钟不操作系统时自动退出登录。#echo TMOUT=180/etc/profile（2）使配置生效 执行命令：#./etc/profile#或 source/e

13、tc/profile（3）回退操作 删除在配置文件”/etc/profile”中添加的”TMOUT=180”，执行命令./etc/profile使配置生效。4 系统安全加固 4.1 关闭系统中与系统正常运行、业务无关的服务（1）查看系统中的所有服务及运行级别，并确定哪些服务是与系统的正常运行及业务无关的服务。#chkconfig-list （2）关闭系统中不用的服务 实用文档 文案大全#chkconfig servername off（3）回退操作，如果意外关闭了与系统业务运行相关的服务，可将该服务开启#chkconfig servername on 4.2 禁用“CTRL+ALT+DEL”重

14、启系统（1）rhel6.x 中禁用“ctrl+alt+del”键重启系统 修 改 配 置 文 件“/etc/init/control-alt-delete.conf”，注 释 掉 行“start on control-alt-delete”。或用 sed 命令修改：#sed-i sstart on control-alt-delete#start on control-alt-deleteg/etc/init/control-alt-delete.conf （2）rhel7.x 中禁用“ctrl+alt+del”键重启系统 修改配置文件“/usr/lib/systemd/system/ctrl

15、-alt-del.target”，注释掉所有内容。（3）使修改的配置生效#init q 4.3 加密 grub 菜单 1、加密 Redhat6.x grub 菜单（1）备份配置文件/boot/grub/grub.conf#cp/boot/grub/grub.conf/boot/grub/grub.conf.bak（2）将密码生成秘钥#grub-md5-crypt Password:Retype password:$1$nCPeR/$mUKEeqnBp8G.P.Hrrreus.（3）为 grub加密 修改配置文件/boot/grub/grub.conf,在”timeout=5”行下加入”pass

16、word-md5$1$CgxdR/$9ipaqi8aVriEpF0nvfd8x.”，”$1$CgxdR/$9ipaqi8aVriEpF0nvfd8x.”为加密后的密码。实用文档 文案大全（4）回退#cp/boot/grub/grub.conf/boot/grub/grub.conf.bak 或者删除加入行”password-md5$1$CgxdR/$9ipaqi8aVriEpF0nvfd8x.”2、加密 redhat7.xgrub 菜单（1）在”/etc/grub.d/00_header”文件末尾，添加以下内容 cat EOFset superusers=admin password admin qwe123 E0F（2）重新编译生成 grub.cfg文件#grub2-mkconfig -o /boot/grub2/grub.cfg（3）回退操作 删除/etc/grub.d/00_header 中添加的内容，并重新编译生成 grub.cfg文件