仓酷云

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 587|回复: 8
打印 上一主题 下一主题

[CentOS(社区)] 给大家带来CentOS宁静加固

[复制链接]
不帅 该用户已被删除
跳转到指定楼层
楼主
发表于 2015-1-14 20:23:58 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的小伙伴们!
Redhat是今朝企业顶用的最多的一类Linux,而今朝针对Redhat打击的黑客也愈来愈多了。我们要怎样为这类办事器做好宁静加固事情呢?
  一.账户宁静

  1.1锁定体系中过剩的自建帐号

  反省***:

  实行下令

  #cat/etc/passwd

  #cat/etc/shadow

  检察账户、口令文件,与体系***确认不用要的账号。关于一些保存的体系伪帐户如:bin,sys,adm,uucp,lp,nuucp,hpdb,www,daemon等可依据必要锁定上岸。

  备份***:

  #cp-p/etc/passwd/etc/passwd_bak

  #cp-p/etc/shadow/etc/shadow_bak

  加固***:

  利用下令passwd-l<用户名>锁定不用要的账号。

  利用下令passwd-u<用户名>解锁必要规复的账号。


  风险:

  必要与***确认此项操纵不会影响到营业体系的登录

  1.2设置体系口令战略

  反省***:

  利用下令

  #cat/etc/login.defs|grepPASS检察暗码战略设置

  备份***:

  cp-p/etc/login.defs/etc/login.defs_bak

  加固***:

  #vi/etc/login.defs修正设置文件

  PASS_MAX_DAYS90#新建用户的暗码最长利用天数

  PASS_MIN_DAYS0#新建用户的暗码最短利用天数

  PASS_WARN_AGE7#新建用户的暗码到期提早提示天数

  PASS_MIN_LEN9#最小暗码长度9

  风险:无可见风险

  1.3禁用root以外的超等用户

  反省***:

  #cat/etc/passwd检察口令文件,口令文件格局以下:

  login_name:password:user_ID:group_ID:comment:home_dir:command

  login_name:用户名

  password:加密后的用户暗码

  user_ID:用户ID,(1~6000)若用户ID=0,则该用户具有超等用户的权限。检察此处是不是有多个ID=0。

  group_ID:用户组ID

  comment:用户全名或别的正文信息

  home_dir:用户根目次

  command:用户登录后的实行下令

  备份***:

  #cp-p/etc/passwd/etc/passwd_bak

  加固***:

  利用下令passwd-l<用户名>锁定不用要的超等账户。

  利用下令passwd-u<用户名>解锁必要规复的超等账户。

  风险:必要与***确认此超等用户的用处。

  1.4限定可以su为root的用户

  反省***:

  #cat/etc/pam.d/su,检察是不是有authrequired/lib/security/pam_wheel.so如许的设置条目

  备份***:#cp-p/etc/pam.d/etc/pam.d_bak

  加固***:

  #vi/etc/pam.d/su

  在头部增加:

  authrequired/lib/security/pam_wheel.sogroup=wheel

  如许,只要wheel组的用户能够su到root

  #usermod-G10test将test用户到场到wheel组

  风险:必要PAM包的撑持;对pam文件的修正应细心反省,一旦呈现毛病会招致没法上岸;和***确认哪些用户必要su。

  当体系考证呈现成绩时,起首应该反省/var/log/messages大概/var/log/secure中的输入信息,依据这些信息判别用户账号的无效

  性。假如是由于PAM考证妨碍,而引发root也没法登录,只能利用singleuser大概rescue形式举行排错。

  1.5反省shadow中空口令帐号

  反省***:

  #awk-F:(==""){print}/etc/shadow

  备份***:cp-p/etc/shadow/etc/shadow_bak

  加固***:对空口令账号举行锁定,或请求增添暗码

  风险:要确认空口令账户是不是和使用联系关系,增添暗码是不是会引发使用没法毗连。
  2、最小化办事

  2.1中断或禁用与承载营业有关的办事

  反省***:

  #who&ndash;r或runlevel检察以后init级别

  #chkconfig--list检察一切办事的形态

  备份***:纪录必要封闭办事的称号

  加固***:

  #chkconfig--level<办事名>on|off|reset设置办事在个init级别下开机是不是启动

  风险:某些使用必要特定办事,必要与***确认。

  3、数据会见把持

  3.1设置公道的初始文件权限

  反省***:

  #cat/etc/profile检察umask的值

  备份***:

  #cp-p/etc/profile/etc/profile_bak

  加固***:

  #vi/etc/profile

  umask=027

  风险:会修正新建文件的默许权限,假如该办事器是WEB使用,则此项审慎修正。

  4、收集会见把持

  4.1利用SSH举行办理

  反省***:

  #ps&ndash;aef|grepsshd检察有没有此办事

  备份***:

  加固***:

  利用下令开启ssh办事

  #servicesshdstart

  风险:改动***的利用习气

  4.2设置会见把持战略限定可以办理本机的IP地点

  反省***:

  #cat/etc/ssh/sshd_config检察有没有AllowUsers的语句

  备份***:

  #cp-p/etc/ssh/sshd_config/etc/ssh/sshd_config_bak

  加固***:

  #vi/etc/ssh/sshd_config,增加以下语句

  AllowUsers*@10.138.*.*此句意为:仅同意10.138.0.0/16网段一切用户经由过程ssh会见

  保留后重启ssh办事

  #servicesshdrestart

  风险:必要和***确认可以办理的IP段

  4.3克制root用户近程上岸

  反省***:

  #cat/etc/ssh/sshd_config检察PermitRootLogin是不是为no

  备份***:

  #cp-p/etc/ssh/sshd_config/etc/ssh/sshd_config_bak

  加固***:

  #vi/etc/ssh/sshd_config

  PermitRootLoginno

  保留后重启ssh办事

  servicesshdrestart

  风险:root用户没法间接近程登录,必要用一般账号上岸后su

  4.4限制信托主机

  反省***:

  #cat/etc/hosts.equiv检察个中的主机

  #cat/$HOME/.rhosts检察个中的主机

  备份***:

  #cp-p/etc/hosts.equiv/etc/hosts.equiv_bak

  #cp-p/$HOME/.rhosts/$HOME/.rhosts_bak

  加固***:

  #vi/etc/hosts.equiv删除个中不用要的主机

  #vi/$HOME/.rhosts删除个中不用要的主机

  风险:在多机互备的情况中,必要保存其他主机的IP可托任。

  4.5屏障登录banner信息

  反省***:

  #cat/etc/ssh/sshd_config检察文件中是不是存在Banner字段,或banner字段为NONE

  #cat/etc/motd检察文件内容,该处内容将作为banner信息显现给登任命户。

  备份***:

  #cp-p/etc/ssh/sshd_config/etc/ssh/sshd_config_bak

  #cp-p/etc/motd/etc/motd_bak

  加固***:

  #vi/etc/ssh/sshd_config

  bannerNONE

  #vi/etc/motd

  删除全体内容或更新成本人想要增加的内容

  风险:无可见风险

  4.6避免误利用Ctrl+Alt+Del重启体系

  反省***:

  #cat/etc/inittab|grepctrlaltdel检察输出行是不是被正文

  备份***:

  #cp-p/etc/inittab/etc/inittab_bak

  加固***:

  #vi/etc/inittab

  外行开首增加正文标记“#”

  #ca::ctrlaltdel:/sbin/shutdown-t3-rnow

 风险:无可见风险

  5、用户判别

  5.1设置帐户锁定登录失利锁定次数、锁准时间

  反省***:

  #cat/etc/pam.d/system-auth检察有没有authrequiredpam_tally.so条目标设置

  备份***:

  #cp-p/etc/pam.d/system-auth/etc/pam.d/system-auth_bak

  加固***:

  #vi/etc/pam.d/system-auth

  authrequiredpam_tally.soonerr=faildeny=6unlock_time=300设置为暗码一连毛病6次锁定,锁准时间300秒

  解锁用户faillog-u<用户名>-r

  风险:必要PAM包的撑持;对pam文件的修正应细心反省,一旦呈现毛病会招致没法上岸;

  当体系考证呈现成绩时,起首应该反省/var/log/messages大概/var/log/secure中的输入信息,依据这些信息判别用户账号的无效

  性。

  5.2修正帐户TMOUT值,设置主动刊出工夫

  反省***:

  #cat/etc/profile检察有没有TMOUT的设置

  备份***:

  #cp-p/etc/profile/etc/profile_bak

  加固***:

  #vi/etc/profile

  增添

  TMOUT=600无操纵600秒后主动加入

  风险:无可见风险

  5.3Grub/Lilo暗码

  反省***:

  #cat/etc/grub.conf|greppassword检察grub是不是设置暗码

  #cat/etc/lilo.conf|greppassword检察lilo是不是设置暗码

  备份***:

  #cp-p/etc/grub.conf/etc/grub.conf_bak

  #cp-p/etc/lilo.conf/etc/lilo.conf_bak

  加固***:为grub或lilo设置暗码

  风险:etc/grub.conf一般会链接到/boot/grub/grub.conf

  5.4限定FTP登录

  反省***:

  #cat/etc/ftpusers确认是不是包括用户名,这些用户名不同意登录FTP办事

  备份***:

  #cp-p/etc/ftpusers/etc/ftpusers_bak

  加固***:

  #vi/etc/ftpusers增加行,每行包括一个用户名,增加的用户将被克制登录FTP办事

  风险:无可见风险

  5.5设置Bash保存汗青下令的条数

  反省***:

  #cat/etc/profile|grepHISTSIZE=

  #cat/etc/profile|grepHISTFILESIZE=检察保存汗青下令的条数

  备份***:

  #cp-p/etc/profile/etc/profile_bak

  加固***:

  #vi/etc/profile

  修正HISTSIZE=5和HISTFILESIZE=5即保存最新实行的5条下令

  风险:无可见风险
  6、审计谋略

  6.1设置体系日记战略设置文件

  反省***:

  #ps&ndash;aef|grepsyslog确认syslog是不是启用

  #cat/etc/syslog.conf检察syslogd的设置,并确认日记文件是不是存在

  体系日记(默许)/var/log/messages

  cron日记(默许)/var/log/cron

  宁静日记(默许)/var/log/secure

  备份***:

  #cp-p/etc/syslog.conf

  6.2为审计发生的数据分派公道的存储空间和存储工夫
  反省***:

  #cat/etc/logrotate.conf检察体系轮询设置,有没有

  #rotatelogfilesweekly

  weekly

  #keep4weeksworthofbacklogs

  rotate4的设置

  备份***:

  #cp-p/etc/logrotate.conf/etc/logrotate.conf_bak
老尸 该用户已被删除
沙发
发表于 2015-1-16 16:45:25 | 只看该作者

给大家带来CentOS宁静加固

学习Linux应具备的。[书籍+网络资源]
小妖女 该用户已被删除
板凳
发表于 2015-1-25 22:02:37 | 只看该作者
感谢老师和同学们在学习上对我的帮助。
再见西城 该用户已被删除
地板
发表于 2015-2-4 14:44:31 | 只看该作者
在系统检测不到与Linux兼容的显卡,那么此次安装就可能不支持图形化界面安装,而只能用文本模式安装等等。
飘灵儿 该用户已被删除
5#
发表于 2015-2-10 03:08:47 | 只看该作者
查阅经典工具书和Howto,特别是Howto是全球数以万计的Linux、Unix的经验总结非常有参考价值通常40%的问题同样可以解决。
变相怪杰 该用户已被删除
6#
发表于 2015-2-28 19:38:19 | 只看该作者
下面看看一个让人无法回答的问题:“救命各位高手,向你们请教一些问题:如何在Linux下配制HTTP、FTP、Samba、DNS、DHCP、Sendmail服务器,谢谢”这样的问题。
灵魂腐蚀 该用户已被删除
7#
发表于 2015-3-10 12:28:29 | 只看该作者
对我们学习操作系统有很大的帮助,加深我们对OS的理解。?
山那边是海 该用户已被删除
8#
发表于 2015-3-17 11:10:31 | 只看该作者
对于英语不是很好的读者红旗 Linux、中标Linux这些中文版本比较适合。现在一些Linux网站有一些Linux版本的免费下载,这里要说的是并不适合Linux初学者。
分手快乐 该用户已被删除
9#
发表于 2015-3-24 11:13:40 | 只看该作者
一定要学好命令,shell是命令语言,命令解释程序及程序设计语言的统称,shell也负责用户和操作系统之间的沟通。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|仓酷云 鄂ICP备14007578号-2

GMT+8, 2024-11-1 19:31

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表