linux系统安全加固手册模板.doc
《linux系统安全加固手册模板.doc》由会员分享,可在线阅读,更多相关《linux系统安全加固手册模板.doc(33页珍藏版)》请在咨信网上搜索。
1、系统安全加固手册1 帐户安全配置要求1.1 创建/etc/shadow影子口令文件配置项名称设置影子口令模式检验方法实施:#more /etc/shadow查看是否存在该文件操作步骤1、实施备份:#cp p /etc/passwd /etc/passwd_bak2、切换到影子口令模式:#pwconv回退操作实施:#pwunconv#cp /etc/passwd_bak /etc/passwd风险说明系统默认使用标准口令模式,切换不成功可能造成整个用户管理失效1.2 建立多帐户组,将用户账号分配到对应帐户组配置项名称建立多帐户组,将用户账号分配到对应帐户组检验方法1、实施:#more /etc/
2、group#more /etc/shadow查看每个组中用户或每个用户属于那个组2、确定需要修改用户组用户操作步骤1、实施备份:#cp p /etc/group /etc/group_bak2、修改用户所属组:# usermod g group username回退操作实施:#cp /etc/group_bak /etc/group风险说明修改用户所属组可能造成一些应用无法正常运行1.3 删除或锁定可能无用帐户配置项名称删除或锁定可能无用帐户检验方法1、实施:#more /etc/passwd查看是否存在以下可能无用帐户:hpsmh、named、uucp、nuucp、adm、daemon、bi
3、n、lp2、和管理员确定需要锁定帐户操作步骤1、实施备份:#cp p /etc/passwd /etc/passwd_bak2、锁定无用帐户:#passwd -l username回退操作实施:#cp /etc/passwd_bak /etc/passwd风险说明锁定一些用户可能造成一些应用无法正常运行1.4 删除可能无用用户组配置项名称删除可能无用用户组检验方法1、实施:#more /etc/group查看是否存在以下可能无用用户组:lp nuucp nogroup2、和管理员确定需要删除用户组操作步骤1、实施备份:#cp p /etc/group /etc/group_bak2、删除无用用
4、户组:#groupdel groupname回退操作实施:#cp /etc/group_bak /etc/group风险说明删除一些组可能造成一些应用无法正常运行1.5 检验是否存在空密码帐户配置项名称检验是否存在空密码帐户检验方法实施下列命令,检验是否存在空密码帐户logins p应无回结果操作步骤1、实施备份:#cp p /etc/passwd /etc/passwd_bak#cp -p /etc/shadow /etc/shadow_bak2、锁定空密码帐户或使用passwd命令设置复杂密码#passwd l username回退操作实施:#cp p /etc/passwd_bak /e
5、tc/passwd#cp -p /etc/shadow_bak /etc/shadow风险说明锁定一些帐户可能造成一些应用无法正常运行1.6 设置口令策略满足复杂度要求配置项名称设置口令策略满足复杂度要求检验方法1、实施下列命令,检验是否存在空密码帐户#logins p应无返回结果2、实施:#more /etc/default/security检验是否满足以下各项复杂度参数:MIN_PASSWORD_LENGTH=6PASSWORD_MIN_UPPER_CASE_CHARS=1PASSWORD_MIN_LOWER_CASE_CHARS=1PASSWORD_MIN_DIGIT_CHARS=1PA
6、SSWORD_MIN_SPECIAL_CHARS=1操作步骤1、实施备份:#cp p /etc/default/security /etc/default/security_bak#cp p /etc/passwd /etc/passwd_bak2、实施下列命令,编辑/etc/default/security#vi /etc/default/security修改以下各项复杂度参数:MIN_PASSWORD_LENGTH=6PASSWORD_MIN_UPPER_CASE_CHARS=1PASSWORD_MIN_LOWER_CASE_CHARS=1PASSWORD_MIN_DIGIT_CHARS=
7、1PASSWORD_MIN_SPECIAL_CHARS=1回退操作实施: #cp /etc/default/security_bak /etc/default/security#cp /etc/passwd_bak /etc/passwd风险说明可能造成非root用户修改自己密码时数次不成功1.7 设置帐户口令生存周期配置项名称设置帐户口令生存周期检验方法实施:#more /etc/default/security查看是否存在以下各项参数:PASSWORD_MAXDAYS=90PASSWORD_WARNDAYS=28操作步骤1、实施备份:#cp p /etc/default/security
8、/etc/default/security_bak#cp p /etc/passwd /etc/passwd_bak2、实施下列命令,编辑/etc/default/security#vi /etc/default/security修改以下各项参数:PASSWORD_MAXDAYS=90PASSWORD_WARNDAYS=28回退操作实施: #cp /etc/default/security_bak /etc/default/security#cp /etc/passwd_bak /etc/passwd风险说明可能在密码过期后影响正常使用及维护1.8 设定密码历史,不能反复使用最近5次(含5次)
9、内已使用口令配置项名称应配置设备,使用户不能反复使用最近5次(含5次)内已使用口令检验方法实施:#more /etc/default/security查看是否存在以下参数:PASSWORD_HISTORY_DEPTH=5操作步骤1、实施备份:#cp p /etc/default/security /etc/default/security_bak#cp p /etc/passwd /etc/passwd_bak2、实施下列命令,编辑/etc/default/security#vi /etc/default/security修改以下参数:PASSWORD_HISTORY_DEPTH=5回退操作实
10、施: #cp /etc/default/security_bak /etc/default/security#cp /etc/passwd_bak /etc/passwd风险说明低风险1.9 限制root用户远程登录配置项名称root用户远程登录限制检验方法实施:#more /etc/securetty检验是否有下列行:Console实施:#more /opt/ssh/etc/sshd_config检验是否有PermitRootLogin no操作步骤1、实施备份:#cp p /etc/securetty / etc/securetty_bak#cp -p /opt/ssh/etc/sshd_
11、config /opt/ssh/etc/sshd_config_bak2、新建一个一般用户并设置高强度密码:#useradd username#passwd username3、严禁root用户远程登录系统:#vi /etc/securetty去掉console前面注释,保留退出#vi /opt/ssh/etc/sshd_config将PermitRootLogin后yes改为no回退操作实施:#cp /etc/securetty_bak /etc/securetty#cp -p /opt/ssh/etc/sshd_config_bak /opt/ssh/etc/sshd_config风险说明
12、严重改变维护人员操作习惯,必需新建一个能够实施交互式登录一般用户并能够经过su提升权限,可能带来新威胁1.10 检验passwd、group文件权限设置配置项名称检验passwd、group文件权限设置检验方法实施:#ls l /etc/passwd /etc/group操作步骤1、实施备份:#cp p /etc/passwd /etc/passwd_bak#cp p /etc/group /etc/group_bak2、修改文件权限:#chmod 644 /etc/passwd#chmod 644 /etc/group回 退实施:#cp /etc/passwd_bak /etc/passwd
13、#cp /etc/group_bak /etc/group风险说明权限设置不妥可能造成无法实施用户管理,并可能造成一些应用运行异常 1.11 系统umask设置配置项名称系统umask设置检验方法实施:#more /etc/profile检验系统umask值操作步骤1、实施备份:#cp -p /etc/profile /etc/profile_bak2、修改umask设置:#vi /etc/profile将umask值修改为027,保留退出回退操作实施:#cp /etc/profile_bak /etc/profile风险说明umask设置不妥可能造成一些应用无法正确自动创建目录或文件,从而运
14、行异常 2 访问、认证安全配置要求2.1 远程登录用消telnet采取ssh配置项名称远程登录用消telnet采取ssh检验方法查看SSH、telnet服务状态:#ps elf | grep ssh#ps elf | grep telnetSSH服务状态查看结果为:onlinetelnet服务状态查看结果为:disabled操作步骤1、备份#cp p /etc/inetd.conf /etc/inetd.conf_bak2、修改/etc/inetd.conf文件,将telnet行注释掉#telnet stream tcp nowait root /usr/lbin/telnetd telnet
15、d3、重启服务# inetd -c4、安装ssh软件包,经过#/opt/ssh/sbin/sshd start来开启SSH。回退操作实施:#cp p /etc/inetd.conf_bak /etc/inetd.conf开启telnet#/usr/lbin/telnetd start停止SSH#/opt/ssh/sbin/sshd stop风险说明影响维护人员操作习惯,需要重启服务2.2 限制系统帐户FTP登录配置项名称限制root、daemon、bin、sys、adm、lp、uucp、nuucp、nobody、hpdb、useradm等系统帐户FTP登录检验方法实施:#cat /etc/ft
16、pd/ftpusers查看具体严禁FTP登陆系统用户名单操作步骤1、实施备份:#cp -p /etc/ftpd/ftpusers /etc/ftpd/ftpusers_bak2、严禁用户FTP登录系统:#vi /etc/ftpd/ftpusers每一个帐户一行,添加以下帐户严禁FTP登录root、daemon、bin、sys、adm、lp、uucp、nuucp、nobody、hpdb、useradm回退操作实施:#cp /etc/ftpd/ftpusers_bak /etc/ftpd/ftpusers风险说明严禁一些帐户登录FTP可能造成一些应用无法正常运行2.3 配置许可访问inetd服务I
17、P范围或主机名配置项名称配置许可访问inetd服务IP范围或主机名检验方法实施:#cat /var/adm/inetd.sec查看有没有类似login deny 192.54.24.5 cory.berkeley.edu testlan配置操作步骤1、实施备份:#cp -p /var/adm/inetd.sec /var/adm/inetd.sec_bak2、添加许可访问inetd服务IP范围或主机名:#vi /var/adm/inetd.sec根据以下格式添加IP范围或主机名service name allow | deny hostaddrs | hostnames |netaddrs |
18、 netnames 回退操作实施:#cp /var/adm/inetd.sec_bak /var/adm/inetd.sec风险说明需确定IP信任范围,设置不妥会造成网络服务通信异常2.4 严禁除root外帐户使用at/cron配置项名称严禁除root外帐户使用at/cron检验方法实施:# cd /var/adm/cron#cat cron.allow#cat at.allow查看是否存在root;实施:#cat cron.deny#cat at.deny检验是否存在cron.deny和at.deny文件,若存在,应删除。操作步骤1、实施备份# cd /var/adm/cron#cp -p
19、cron.deny cron.deny_bak#cp -p at.deny at.deny_bak#cp -p cron.allow cron.allow_bak#cp -p at.allow at.allow _bak2、添加root到cron.allow和at.allow,并删除cron.deny和at.deny。#cd /var/adm/cron#rm -f cron.deny at.deny#echo root cron.allow#echo root at.allow#chown root:sys cron.allow at.allow#chmod 400 cron.allow at
20、.allow回退操作# cd /var/adm/cron#cp -p cron.deny_bak cron.deny#cp -p at.deny_bak at.deny#cp -p cron.allow_bak cron.allow#cp -p at.allow_bak at.allow风险说明除root外帐户不能使用at/cron,可能影响一些应用。2.5 设定连续认证失败次数超出6次(不含6次)锁定该账号配置项名称配置当用户连续认证失败次数超出6次(不含6次),锁定该用户使用账号。检验方法实施:#cat /etc/default/security检验是否存在AUTH_MAXTRIES=6操
21、作步骤1、实施备份#cp -p /etc/default/security /etc/default/security_bak2、实施下列命令,设置最大登录认证重试次数锁定帐户为6次echo AUTH_MAXTRIES=6 /etc/default/security回退操作#cp -p /etc/default/security_bak /etc/default/security风险说明root账号也在锁定限制范围内,一旦root被锁定,就需要光盘引导,所以该配置要慎用。3 文件系统安全配置要求3.1 关键目录和文件权限设置配置项名称关键目录和文件权限设置检验方法实施以下命令检验目录和文件权限
22、设置情况:#ls l /etc/#ls l /tmp/#ls l /etc/default/#ls -l /etc/rc.config.d/操作步骤1、实施备份:使用cp命令备份需要修改权限文件或目录2、权限修改:使用chmod命令修改文件或目录权限回退操作使用cp命令恢复被修改权限文件或目录或使用chmod命令恢复权限风险说明修改一些关键配置文件权限可能造成系统功效或应用异常3.2 检验没有全部者文件或目录配置项名称检验没有全部者文件或目录检验方法实施:#find / ( -nouser -o -nogroup ) -exec ls -al ;咨询管理员找到文件或目录是否应用所需操作步骤1、
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- linux 系统安全 加固 手册 模板
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【a199****6536】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【a199****6536】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。