linux主机安全策略实施方案.docxVIP

主机安全策略实施方案拓扑安全配置：1、系统安全(1)BIOS密码调整BIOS引导设置修改启动顺序设置管理密码禁用Ctrl+Alt+Del重启热键# vim /etc/inittab 32 #ca::ctrlaltdel:/sbin/shutdown -t3 -r now# init q--让更改的配置马上生效，不需要重启服务器。(2)GRUB密码加密引导菜单的作用:修改启动参数时需要验证密码进入所选择的系统前需要验证密码在grub.conf文件中设置密码的方式password --md5 加密密码串密码设置行的位置全局部分（第一个“title”之前）系统引导参数部分（每个“title”部分之后）# grub-md5-crypt$1$Qq15d$bEjy8VeMCrNcIJCEESqyY/# vim /boot/grub/grub.confdefault=0timeout=5splashimage=(hd0,0)/grub/splash.xpm.gzpassword --md5 $1$Qq15d$bEjy8VeMCrNcIJCEESqyY/--修改启动菜单时需要输入此密码title Red Hat Enterprise Linux Server (2.6.18-8.el5) root (hd0,0) ……2、系统策略(密码策略)（1）.检查系统中有无空密码账号：# awk -F: ($2 == ) {print} /etc/shadow# awk -F: ($2 == ) {print} /etc/passwd（2）.检查系统中有无多余的管理员账号：# awk -F: ($3 == 0) {print} /etc/passwd（3）.设置账号的属性：# chage -M 30 -m 7 -W 7 -I 3 userName# chage -d 0 userName-M多长时间改一次密码-m修改密码的最小间隔-W密码过期警告时间-I密码过期延时时间-d定义最一次修改密码的时间，-d 0从来都没改过密码，所以第一次登录时需要修改密码（4）.检查程序用户的登录Shell是否异常# awk -F: $7!=/sbin/nologin {print $1,$7} /etc/passwd （5）.减少记录命令历史的条数环境变量 HISTSIZE# vim /etc/profileHISTSIZE=50（6）.设置在命令行界面中超时自动注销环境变量 TMOUT# vim /etc/profileTMOUT=3003、最小服务法关闭不需要的服务:# vim /root/service.sh#!/bin/bashservice xinetd stop chkconfig xinetd offservices=network sshd syslog lvm2-monitor messagebus sendmail crond gpm anacron auditd haldaemon irqbalance avahi-daemonoffservices=`chkconfig --list |awk {print $1}`for i in $offservicesdo chkconfig $i offdonefor i in $servicesdo chkconfig $i ondone4、禁止普通用户执行init.d目录中的脚本# chmod -R o=- /etc/rc.d/init.d文件安全(suid/sgid/stick/chattr) 分区安全5、需要独立划分分区的目录：/usr/home/var and /var/tmp/tmp6、锁定重要文件的i节点chattr命令、lsattr命令# chattr +i /etc/passwd# useradd newuseruseradd：无法打开密码文件# lsattr /etc/passwd----i-------- /etc/passwd# chattr +-a /file需要加锁的文件：/boot/grub/grub.conf/etc/passwd/etc/shadow/etc/sudoers7、SSH安全建议：（1）、只使用ssh v2Protocol 2（2）、限制用户访问AllowUsersuser01,root－－只允许哪些用户使用ssh登录DenyUsersuser02,user03－－只拒绝哪些用户访问，两种方法选其一（3）、配置空闲超时自动断开使用shell变量来完成直接且简单（4）、禁止管理员直接使用ssh登录：PermitRootLogin no--使用普通用户登录用，调用su/sudo来提权（5）、更改默认的监听端口和监听