网站大量收购闲置独家精品文档,联系QQ:2885784924

Linux系统安全配置规范.ppt

  1. 1、本文档共19页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
Linux系统安全配置规范

* * * * * * * * * * *      2010.4.13  一、Linux安全威胁 二、Linux安全配置 一、Linux安全威胁 入侵事件 现象 三台服务器SSH无法登陆,其中一台root密码被修改 last显示系统用户异常活动 history显示有w、wget、gcc等命令运行 推测 入侵路线? 演示 入侵演示 思考 原因 系统被入侵的因素有哪些? Linux安全威胁 系统因素:漏洞 人的因素:账号、口令、端口、权限 Root用户“权倾天下” 系统开源性 Expliot“泛滥” 系统管理人员疏忽 二、Linux安全配置 安全配置点 物理安全 分区规划 系统安装 账号口令 系统管理 访问控制 网络安全 日志审计 物理安全 设置BIOS密码且修改引导次序,禁止从软驱、光驱、USB方式启动系统 分区规划 可将/boot、/、/home、/usr、/tmp、和/var目录分别挂载到不同的磁盘分区 修改/etc/fstab,将/tmp目录属性设置为exec,dev,nosuid,rw,将/var目录属性设置为exec,nosuid,rw 备份磁盘MBR,#dd if=/dev/sda of=/var/5173/mbr bs=512 count=1 系统安装 使用官方安装镜像与更新源 按需安装,不安装非必要的软件 关闭系统自动更新 账号口令 zhuxg:x:501:501:Jacky:/home/zhuxg:/bin/bash 用户名 密码位置 UID GID 用户全名 用户主目录 用户shell /etc/passwd文件 账号口令 /etc/shadow文件 root:$1$fgvCnqo0$C6xldBN0rs.w1SCtD/RST0:10598:0:99999:7:-1:-1:-1073743272 用户名 加密口令 上一次修改的时间(从1970年1月1日起的天数) 口令在两次修改间的最小天数 离用户必须修改口令还剩下的天数 离系统提醒用户必须修改口令还剩下的天数 用户仍可修改口令还剩余的天数,否则到期之后该账号将被禁止 从1970年1月1日起账号被禁用的天数 保留字段 账号口令 对不需要的用户和组进行注释(lp, sync, shutdown, halt, mail, news, uucp, operator, games, gopher,pcap) 编辑/etc/pam.d/system-auth,修改口令复杂度要求策略password requisite pam_cracklib.so try_first_pass retry=3 dcredit=-1 ocredit=-1 编辑/etc/pam.d/system-auth,禁止空口令用户登陆 auth sufficient pam_unix.so try_first_pass password sufficient pam_unix.so md5 shadow try_first_pass use_authtok 修改口令长度、口令生存周期、口令过期告警策略 PASS_MAX_DAYS 90 PASS_MIN_DAYS 0 PASS_MIN_LEN 8 PASS_WARN_AGE 10 编辑/etc/pam.d/su,去掉#auth required pam_wheel.so use_uid注视,只允许wheel用户组执行su获得root权限 系统管理 编辑/etc/profile,添加TMOUT=300,设置登陆超时 编辑/etc/ssh/sshd_config,添加PermitRootLogin no,禁止root用户SSH登陆 创建命令记录文件#touch /var/log/audit/scriptrecord.log,编辑/etc/profile,添加script -a /var/log/audit/scriptrecord.log用于记录所有root用户组运行的命令 访问控制 编辑/root/.bash_profile,添加umask 077,限制root初始文件创建权限 #chattr +i修改敏感文件属性passwd, shadow, group, grub.conf等 设置敏感文件访问权限 #chmod 600 /etc/inetd.conf #chmod 600 /grub/grub.conf #chmod -R 700 /etc/rc.d/init.d/* #chmod 644 /var/l

文档评论(0)

pangzilva + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档