欢迎来到麦多课文档分享! | 帮助中心 海量文档,免费浏览,给你所需,享你所想!
麦多课文档分享
全部分类
  • 标准规范>
  • 教学课件>
  • 考试资料>
  • 办公文档>
  • 学术论文>
  • 行业资料>
  • 易语言源码>
  • ImageVerifierCode 换一换
    首页 麦多课文档分享 > 资源分类 > DOC文档下载
    分享到微信 分享到微博 分享到QQ空间

    linux系统安全加固方案.doc

    • 资源ID:381959       资源大小:27.65KB        全文页数:8页
    • 资源格式: DOC        下载积分:2000积分
    快捷下载 游客一键下载
    账号登录下载
    微信登录下载
    二维码
    微信扫一扫登录
    下载资源需要2000积分(如需开发票,请勿充值!)
    邮箱/手机:
    温馨提示:
    如需开发票,请勿充值!快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。
    如需开发票,请勿充值!如填写123,账号就是123,密码也是123。
    支付方式: 支付宝扫码支付    微信扫码支付   
    验证码:   换一换

    加入VIP,交流精品资源
     
    账号:
    密码:
    验证码:   换一换
      忘记密码?
        
    友情提示
    2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
    3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
    4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
    5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。

    linux系统安全加固方案.doc

    1、 - 1 - 1概述 . - 1 - 1.1适用范围 - 1 - 2用户账户安全加固 . - 1 - 2.1 修改用户密码策略 - 1 - 2.2 锁定或删除系统中与服务运行,运维无关的的用户 - 1 - 2.3 锁定或删除系统中不使用的组 - 2 - 2.4 限制密码的最小长度 - 2 - 3用户登录安全设置 . - 3 - 3.1 禁止 root 用户远程登录 - 3 - 3.2 设置远程 ssh 登录超时时间 . - 3 - 3.3 设置当用户连续登录失败三次,锁定用户 30 分钟 - 4 - 3.4 设置用户不能使用最近五次使用过的密码 - 5 - 3.5 设置登陆系统账户超时自动退出

    2、登陆 - 5 - 4系统安全加固 . - 5 - 4.1 关闭系统中与系统正常运行、业务无关的服务 - 5 - 4.2 禁用“ CTRL+ALT+DEL”重启系统 . - 6 - 4.3 加密 grub 菜单 . - 6 - - 1 - 1 概述 1.1 适用范围 本方案适用于银视通信息科技有限公司 linux主机安全加固,供运维人员参考对 linux主机进行安全加固。 2 用户账户安全加固 2.1 修改用户密码策略 ( 1)修改前备份配置文件: /etc/login.defs cp /etc/login.defs /etc/login.defs.bak ( 2) 修改编辑配置文件: vi /

    3、etc/login.defs,修改如下配置: PASS_MAX_DAYS 90 (用户的密码不过期最多的天数) PASS_MIN_DAYS 0 (密码修改之间最小的天数) PASS_MIN_LEN 8 (密码最小长度) PASS_WARN_AGE 7 (口令失效前多少天开始通知用户更改密码 ) ( 3) 回退操作 # cp /etc/login.defs.bak /etc/login.defs 2.2 锁定或删除系统中与服务运行,运维无关的的用户 ( 1)查看系统中的用户并确定无用的用户 # more /etc/passwd ( 2)锁定不使用的账户(锁定或删除用户根据自己的需求操作一项即可)

    4、 锁定不使用的账户: # usermod -L username 或删除不使用的账户: - 2 - # userdel -f username ( 3)回退操作 用户锁定后当使用时可解除锁定,解除锁定命令为: # usermod -U username 2.3 锁定或删除系统中不使用的组 ( 1)操作前备份组配置文件 /etc/group # cp /etc/group /etc/group.bak ( 2)查看系统中的组并确定不使用的组 # cat /etc/group ( 3) 删除或锁定不使用的组 锁定不使用的组: 修改组配置文件 /etc/group,在不使用的组前加“ #”注释掉该组

    5、即可 删除不使用的组: # groupdel groupname ( 4)回退操作 # cp /etc/group.bak /etc/group 2.4 限制密码的最小长度 ( 1) 操作前备份组配置文件 /etc/pam.d/system-auth # cp /etc/pam.d /etc/pam.d.bak ( 2) 设置密码的最小长度为 8 修 改 配 置 文 件 /etc/pam.d, 在行 ”password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=” 中添加“ m

    6、inlen=8”,或使用 sed修改: - 3 - # sed -i “s#password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=#password requisite pam_pwquality.so try_first_pass local_users_only retry=3 minlen=8 authtok_type=#g“ /etc/pam.d/system-auth ( 3) 回退操作 # cp /etc/pam.d.bak /etc/pam.d 3 用户登录

    7、安全设置 3.1 禁止 root 用户远程登录 ( 1)修改前备份 ssh 配置文件 /etc/ssh/sshd_conf # cp /etc/ssh/sshd_conf /etc/ssh/sshd_conf.bak ( 2)修改 ssh 服务配置文件不允许 root 用户远程登录 编辑 /etc/ssh/sshd_config 找到“ #PermitRootLogin yes”去掉注释并修改为“ PermitRootLogin no”或者使用 sed 修改,修改命令为: # sed -i “s#PermitRootLogin yesPermitRootLogin nog“ /etc/ssh/

    8、sshd_config ( 3)修改完成后重启 ssh 服务 Centos6.x 为: # service sshd restart Centos7.x 为: # systemctl restart sshd.service ( 4)回退操作 # cp /etc/ssh/sshd_config.bak /etc/ssh/sshd_config 3.2 设置远程 ssh 登录超时时间 ( 1)修改前备份 ssh 服务配置文件 /etc/ssh/sshd_config - 4 - # cp /etc/ssh/sshd_conf /etc/ssh/sshd_conf.bak ( 2)设置远程 ssh

    9、 登录长时间不操作退出登录 编辑 /etc/ssh/sshd_conf 将 ”#ClientAliveInterval 0”修改为 ”ClientAliveInterval 180”,将 ”#ClientAliveCountMax 3”去掉注释,或执行如下命令: # sed -i “s#ClientAliveInterval 0ClientAliveInterval 180g“ /etc/ssh/sshd_config # sed -i “s#ClientAliveCountMax 3ClientAliveCountMax 3g“ /etc/ssh/sshd_config ( 3)配置完成后保

    10、存并重启 ssh 服务 Centos6.x 为: # service sshd restart Centos7.x 为: # systemctl restart sshd.service ( 4)回退操作 # cp /etc/ssh/sshd_config.bak /etc/ssh/sshd_config 3.3 设置当用户连续登录失败三次,锁定用户 30 分钟 ( 1) 配置前备份配置文件 /etc/pam.d/sshd # cp /etc/pam.d/sshd /etc/pam.d/sshd.bak ( 2)设置当用户连续输入密码三次时,锁定该用户 30 分钟 修改配置文件 /etc/pa

    11、m.d/sshd,在配置文件的第二行添加内容 : auth required pam_tally2.so deny=3 unlock_time=300 ( 3)若修改配置文件出现错误,回退即可,回退操作: # cp /etc/pam.d/sshd.bak /etc/pam.d/sshd - 5 - 3.4 设置用户不能使用最近五次使用过的密码 ( 1)配置前备份配置文件 /etc/pam.d/sshd # cp /etc/pam.d/system-auth /etc/pam.d/system-auth.bak ( 2)配置用户不能使用最近五次使用的密码 修 改 配 置 文 件 /etc/pam

    12、.d/sshd, 找 到 行 ”password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok”,在最后加入remember=10,或使用 sed 修改 # sed -i “s#password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtokpassword sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok reme

    13、mber=10g“ /etc/ssh/sshd_config ( 3)回退操作 # cp /etc/pam.d/sshd.bak /etc/pam.d/sshd 3.5 设置登陆系统账户超时自动退出登陆 ( 1)设置登录系统的账号长时间不操作时自动登出 修改系统环境变量配置文件 /etc/profile,在文件的末尾加入 ”TMOUT=180”,使登录系统的用户三分钟不操作系统时自动退出登录。 # echo TMOUT=180 /etc/profile ( 2)使配置生效 执行命令: # . /etc/profile #或 source /etc/profile ( 3)回退操作 删除在配置文

    14、件 ”/etc/profile”中添加的 ”TMOUT=180”,执行命令 . /etc/profile使配置生效。 4 系统安全加固 4.1 关闭系统中与系统正常运行、业务无关的服务 ( 1)查看系统中的所有服务及运行级别,并确定哪些服务是与系统的正常运行及业务无关的服务。 - 6 - # chkconfig -list ( 2)关闭系统中不用的服务 # chkconfig servername off ( 3)回退操作,如果意外关闭了与系统业务运行相关的服务,可将该 服务开启 # chkconfig servername on 4.2 禁用“ CTRL+ALT+DEL”重启系统 ( 1)

    15、rhel6.x 中禁用“ ctrl+alt+del”键重启系统 修改配置文件“ /etc/init/control-alt-delete.conf”,注释掉行“ start on control-alt-delete ”。或用 sed 命令修改: # sed -i “sstart on control-alt-delete#start on control-alt-deleteg“ /etc/init/control-alt-delete.conf ( 2) rhel7.x 中禁用“ ctrl+alt+del”键重启系统 修改配置文件“ /usr/lib/systemd/system/ctrl

    16、-alt-del.target”,注释掉所有内容。 ( 3)使修改的配置生效 # init q 4.3 加密 grub 菜单 1、 加密 Redhat6.x grub 菜单 ( 1) 备份配置文件 /boot/grub/grub.conf # cp /boot/grub/grub.conf /boot/grub/grub.conf.bak ( 2) 将密码生成秘钥 # grub-md5-crypt Password: Retype password: $1$nCPeR/$mUKEeqnBp8G.P.Hrrreus. - 7 - ( 3) 为 grub 加密 修改配置文件 /boot/grub/

    17、grub.conf,在 ”timeout=5”行下加入 ”password -md5 $1$CgxdR/$9ipaqi8aVriEpF0nvfd8x.”, ”$1$CgxdR/$9ipaqi8aVriEpF0nvfd8x.”为加密后的密 码。 ( 4) 回退 # cp /boot/grub/grub.conf /boot/grub/grub.conf.bak 或者删除加入行 ”password -md5 $1$CgxdR/$9ipaqi8aVriEpF0nvfd8x.” 2、加密 redhat7.xgrub 菜单 ( 1)在 ”/etc/grub.d/00_header”文件末尾,添加以下内容 cat EOFset superusers=admin password admin qwe123 E0F ( 2)重新编译生成 grub.cfg 文件 # grub2-mkconfig -o /boot/grub2/grub.cfg ( 3) 回退操作 删除 /etc/grub.d/00_header 中添加的内容,并重新编译生成 grub.cfg 文件


    注意事项

    本文(linux系统安全加固方案.doc)为本站会员(amazingpat195)主动上传,麦多课文档分享仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知麦多课文档分享(点击联系客服),我们立即给予删除!




    关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

    copyright@ 2008-2019 麦多课文库(www.mydoc123.com)网站版权所有
    备案/许可证编号:苏ICP备17064731号-1 

    收起
    展开