给大家带来CentOS宁静加固
如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的小伙伴们!Redhat是今朝企业顶用的最多的一类Linux,而今朝针对Redhat打击的黑客也愈来愈多了。我们要怎样为这类办事器做好宁静加固事情呢? 一.账户宁静1.1锁定体系中过剩的自建帐号
反省***:
实行下令
#cat/etc/passwd
#cat/etc/shadow
检察账户、口令文件,与体系***确认不用要的账号。关于一些保存的体系伪帐户如:bin,sys,adm,uucp,lp,nuucp,hpdb,www,daemon等可依据必要锁定上岸。
备份***:
#cp-p/etc/passwd/etc/passwd_bak
#cp-p/etc/shadow/etc/shadow_bak
加固***:
利用下令passwd-l<用户名>锁定不用要的账号。
利用下令passwd-u<用户名>解锁必要规复的账号。
风险:
必要与***确认此项操纵不会影响到营业体系的登录
1.2设置体系口令战略
反省***:
利用下令
#cat/etc/login.defs|grepPASS检察暗码战略设置
备份***:
cp-p/etc/login.defs/etc/login.defs_bak
加固***:
#vi/etc/login.defs修正设置文件
PASS_MAX_DAYS90#新建用户的暗码最长利用天数
PASS_MIN_DAYS0#新建用户的暗码最短利用天数
PASS_WARN_AGE7#新建用户的暗码到期提早提示天数
PASS_MIN_LEN9#最小暗码长度9
风险:无可见风险
1.3禁用root以外的超等用户
反省***:
#cat/etc/passwd检察口令文件,口令文件格局以下:
login_name:password:user_ID:group_ID:comment:home_dir:command
login_name:用户名
password:加密后的用户暗码
user_ID:用户ID,(1~6000)若用户ID=0,则该用户具有超等用户的权限。检察此处是不是有多个ID=0。
group_ID:用户组ID
comment:用户全名或别的正文信息
home_dir:用户根目次
command:用户登录后的实行下令
备份***:
#cp-p/etc/passwd/etc/passwd_bak
加固***:
利用下令passwd-l<用户名>锁定不用要的超等账户。
利用下令passwd-u<用户名>解锁必要规复的超等账户。
风险:必要与***确认此超等用户的用处。
1.4限定可以su为root的用户
反省***:
#cat/etc/pam.d/su,检察是不是有authrequired/lib/security/pam_wheel.so如许的设置条目
备份***:#cp-p/etc/pam.d/etc/pam.d_bak
加固***:
#vi/etc/pam.d/su
在头部增加:
authrequired/lib/security/pam_wheel.sogroup=wheel
如许,只要wheel组的用户能够su到root
#usermod-G10test将test用户到场到wheel组
风险:必要PAM包的撑持;对pam文件的修正应细心反省,一旦呈现毛病会招致没法上岸;和***确认哪些用户必要su。
当体系考证呈现成绩时,起首应该反省/var/log/messages大概/var/log/secure中的输入信息,依据这些信息判别用户账号的无效
性。假如是由于PAM考证妨碍,而引发root也没法登录,只能利用singleuser大概rescue形式举行排错。
1.5反省shadow中空口令帐号
反省***:
#awk-F:(==""){print}/etc/shadow
备份***:cp-p/etc/shadow/etc/shadow_bak
加固***:对空口令账号举行锁定,或请求增添暗码
风险:要确认空口令账户是不是和使用联系关系,增添暗码是不是会引发使用没法毗连。 2、最小化办事
2.1中断或禁用与承载营业有关的办事
反省***:
#who–r或runlevel检察以后init级别
#chkconfig--list检察一切办事的形态
备份***:纪录必要封闭办事的称号
加固***:
#chkconfig--level<办事名>on|off|reset设置办事在个init级别下开机是不是启动
风险:某些使用必要特定办事,必要与***确认。
3、数据会见把持
3.1设置公道的初始文件权限
反省***:
#cat/etc/profile检察umask的值
备份***:
#cp-p/etc/profile/etc/profile_bak
加固***:
#vi/etc/profile
umask=027
风险:会修正新建文件的默许权限,假如该办事器是WEB使用,则此项审慎修正。
4、收集会见把持
4.1利用SSH举行办理
反省***:
#ps–aef|grepsshd检察有没有此办事
备份***:
加固***:
利用下令开启ssh办事
#servicesshdstart
风险:改动***的利用习气
4.2设置会见把持战略限定可以办理本机的IP地点
反省***:
#cat/etc/ssh/sshd_config检察有没有AllowUsers的语句
备份***:
#cp-p/etc/ssh/sshd_config/etc/ssh/sshd_config_bak
加固***:
#vi/etc/ssh/sshd_config,增加以下语句
AllowUsers*@10.138.*.*此句意为:仅同意10.138.0.0/16网段一切用户经由过程ssh会见
保留后重启ssh办事
#servicesshdrestart
风险:必要和***确认可以办理的IP段
4.3克制root用户近程上岸
反省***:
#cat/etc/ssh/sshd_config检察PermitRootLogin是不是为no
备份***:
#cp-p/etc/ssh/sshd_config/etc/ssh/sshd_config_bak
加固***:
#vi/etc/ssh/sshd_config
PermitRootLoginno
保留后重启ssh办事
servicesshdrestart
风险:root用户没法间接近程登录,必要用一般账号上岸后su
4.4限制信托主机
反省***:
#cat/etc/hosts.equiv检察个中的主机
#cat/$HOME/.rhosts检察个中的主机
备份***:
#cp-p/etc/hosts.equiv/etc/hosts.equiv_bak
#cp-p/$HOME/.rhosts/$HOME/.rhosts_bak
加固***:
#vi/etc/hosts.equiv删除个中不用要的主机
#vi/$HOME/.rhosts删除个中不用要的主机
风险:在多机互备的情况中,必要保存其他主机的IP可托任。
4.5屏障登录banner信息
反省***:
#cat/etc/ssh/sshd_config检察文件中是不是存在Banner字段,或banner字段为NONE
#cat/etc/motd检察文件内容,该处内容将作为banner信息显现给登任命户。
备份***:
#cp-p/etc/ssh/sshd_config/etc/ssh/sshd_config_bak
#cp-p/etc/motd/etc/motd_bak
加固***:
#vi/etc/ssh/sshd_config
bannerNONE
#vi/etc/motd
删除全体内容或更新成本人想要增加的内容
风险:无可见风险
4.6避免误利用Ctrl+Alt+Del重启体系
反省***:
#cat/etc/inittab|grepctrlaltdel检察输出行是不是被正文
备份***:
#cp-p/etc/inittab/etc/inittab_bak
加固***:
#vi/etc/inittab
外行开首增加正文标记“#”
#ca::ctrlaltdel:/sbin/shutdown-t3-rnow
风险:无可见风险
5、用户判别
5.1设置帐户锁定登录失利锁定次数、锁准时间
反省***:
#cat/etc/pam.d/system-auth检察有没有authrequiredpam_tally.so条目标设置
备份***:
#cp-p/etc/pam.d/system-auth/etc/pam.d/system-auth_bak
加固***:
#vi/etc/pam.d/system-auth
authrequiredpam_tally.soonerr=faildeny=6unlock_time=300设置为暗码一连毛病6次锁定,锁准时间300秒
解锁用户faillog-u<用户名>-r
风险:必要PAM包的撑持;对pam文件的修正应细心反省,一旦呈现毛病会招致没法上岸;
当体系考证呈现成绩时,起首应该反省/var/log/messages大概/var/log/secure中的输入信息,依据这些信息判别用户账号的无效
性。
5.2修正帐户TMOUT值,设置主动刊出工夫
反省***:
#cat/etc/profile检察有没有TMOUT的设置
备份***:
#cp-p/etc/profile/etc/profile_bak
加固***:
#vi/etc/profile
增添
TMOUT=600无操纵600秒后主动加入
风险:无可见风险
5.3Grub/Lilo暗码
反省***:
#cat/etc/grub.conf|greppassword检察grub是不是设置暗码
#cat/etc/lilo.conf|greppassword检察lilo是不是设置暗码
备份***:
#cp-p/etc/grub.conf/etc/grub.conf_bak
#cp-p/etc/lilo.conf/etc/lilo.conf_bak
加固***:为grub或lilo设置暗码
风险:etc/grub.conf一般会链接到/boot/grub/grub.conf
5.4限定FTP登录
反省***:
#cat/etc/ftpusers确认是不是包括用户名,这些用户名不同意登录FTP办事
备份***:
#cp-p/etc/ftpusers/etc/ftpusers_bak
加固***:
#vi/etc/ftpusers增加行,每行包括一个用户名,增加的用户将被克制登录FTP办事
风险:无可见风险
5.5设置Bash保存汗青下令的条数
反省***:
#cat/etc/profile|grepHISTSIZE=
#cat/etc/profile|grepHISTFILESIZE=检察保存汗青下令的条数
备份***:
#cp-p/etc/profile/etc/profile_bak
加固***:
#vi/etc/profile
修正HISTSIZE=5和HISTFILESIZE=5即保存最新实行的5条下令
风险:无可见风险 6、审计谋略
6.1设置体系日记战略设置文件
反省***:
#ps–aef|grepsyslog确认syslog是不是启用
#cat/etc/syslog.conf检察syslogd的设置,并确认日记文件是不是存在
体系日记(默许)/var/log/messages
cron日记(默许)/var/log/cron
宁静日记(默许)/var/log/secure
备份***:
#cp-p/etc/syslog.conf
6.2为审计发生的数据分派公道的存储空间和存储工夫 反省***:
#cat/etc/logrotate.conf检察体系轮询设置,有没有
#rotatelogfilesweekly
weekly
#keep4weeksworthofbacklogs
rotate4的设置
备份***:
#cp-p/etc/logrotate.conf/etc/logrotate.conf_bak
给大家带来CentOS宁静加固
学习Linux应具备的。[书籍+网络资源] 感谢老师和同学们在学习上对我的帮助。 在系统检测不到与Linux兼容的显卡,那么此次安装就可能不支持图形化界面安装,而只能用文本模式安装等等。 查阅经典工具书和Howto,特别是Howto是全球数以万计的Linux、Unix的经验总结非常有参考价值通常40%的问题同样可以解决。 下面看看一个让人无法回答的问题:“救命各位高手,向你们请教一些问题:如何在Linux下配制HTTP、FTP、Samba、DNS、DHCP、Sendmail服务器,谢谢”这样的问题。 对我们学习操作系统有很大的帮助,加深我们对OS的理解。? 对于英语不是很好的读者红旗 Linux、中标Linux这些中文版本比较适合。现在一些Linux网站有一些Linux版本的免费下载,这里要说的是并不适合Linux初学者。 一定要学好命令,shell是命令语言,命令解释程序及程序设计语言的统称,shell也负责用户和操作系统之间的沟通。
页:
[1]