- 1、本文档共19页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
Linux系统安全配置规范
* * * * * * * * * * * 2010.4.13 一、Linux安全威胁二、Linux安全配置 一、Linux安全威胁 入侵事件 现象 三台服务器SSH无法登陆,其中一台root密码被修改 last显示系统用户异常活动 history显示有w、wget、gcc等命令运行 推测 入侵路线? 演示 入侵演示 思考 原因 系统被入侵的因素有哪些? Linux安全威胁 系统因素:漏洞 人的因素:账号、口令、端口、权限 Root用户“权倾天下” 系统开源性 Expliot“泛滥” 系统管理人员疏忽 二、Linux安全配置 安全配置点 物理安全 分区规划 系统安装 账号口令 系统管理 访问控制 网络安全 日志审计 物理安全 设置BIOS密码且修改引导次序,禁止从软驱、光驱、USB方式启动系统 分区规划 可将/boot、/、/home、/usr、/tmp、和/var目录分别挂载到不同的磁盘分区 修改/etc/fstab,将/tmp目录属性设置为exec,dev,nosuid,rw,将/var目录属性设置为exec,nosuid,rw 备份磁盘MBR,#dd if=/dev/sda of=/var/5173/mbr bs=512 count=1 系统安装 使用官方安装镜像与更新源 按需安装,不安装非必要的软件 关闭系统自动更新 账号口令 zhuxg:x:501:501:Jacky:/home/zhuxg:/bin/bash 用户名 密码位置 UID GID 用户全名 用户主目录 用户shell /etc/passwd文件 账号口令 /etc/shadow文件 root:$1$fgvCnqo0$C6xldBN0rs.w1SCtD/RST0:10598:0:99999:7:-1:-1:-1073743272 用户名 加密口令 上一次修改的时间(从1970年1月1日起的天数) 口令在两次修改间的最小天数 离用户必须修改口令还剩下的天数 离系统提醒用户必须修改口令还剩下的天数 用户仍可修改口令还剩余的天数,否则到期之后该账号将被禁止 从1970年1月1日起账号被禁用的天数 保留字段 账号口令 对不需要的用户和组进行注释(lp, sync, shutdown, halt, mail, news, uucp, operator, games, gopher,pcap) 编辑/etc/pam.d/system-auth,修改口令复杂度要求策略password requisite pam_cracklib.so try_first_pass retry=3 dcredit=-1 ocredit=-1 编辑/etc/pam.d/system-auth,禁止空口令用户登陆 auth sufficient pam_unix.so try_first_pass password sufficient pam_unix.so md5 shadow try_first_pass use_authtok 修改口令长度、口令生存周期、口令过期告警策略 PASS_MAX_DAYS 90 PASS_MIN_DAYS 0 PASS_MIN_LEN 8 PASS_WARN_AGE 10 编辑/etc/pam.d/su,去掉#auth required pam_wheel.so use_uid注视,只允许wheel用户组执行su获得root权限 系统管理 编辑/etc/profile,添加TMOUT=300,设置登陆超时 编辑/etc/ssh/sshd_config,添加PermitRootLogin no,禁止root用户SSH登陆 创建命令记录文件#touch /var/log/audit/scriptrecord.log,编辑/etc/profile,添加script -a /var/log/audit/scriptrecord.log用于记录所有root用户组运行的命令 访问控制 编辑/root/.bash_profile,添加umask 077,限制root初始文件创建权限 #chattr +i修改敏感文件属性passwd, shadow, group, grub.conf等 设置敏感文件访问权限 #chmod 600 /etc/inetd.conf #chmod 600 /grub/grub.conf #chmod -R 700 /etc/rc.d/init.d/* #chmod 644 /var/l
您可能关注的文档
- javascript图片滚动的代码.doc
- Javascript学习第一季--Javascript DOM 总结.doc
- javascript操作表格.doc
- JAVA_EE经典面试题.doc
- java九阴真经.doc
- javascript及网页特效制作教案.doc
- Java实现串口通信.doc
- Java初学者.docx
- Java实现文件的RSA和DES加密算法.doc
- JAVA常用类介绍.ppt
- 某某单位2024年党建工作总结及2025年工作计划.doc
- 某某市发改委关于2024年度落实党风廉政建设工作责任制情况的报告.doc
- 某某局2024年全面从严治党和党风廉政建设工作总结.doc
- 某某区财政局2024年法治政府建设总结及2025年工作谋划.doc
- 2024年党管武装工作述职报告2篇.doc
- 2024年度国企党委书记抓基层党建工作述职报告3篇.doc
- 公司党委书记2024年述职述廉报告.docx
- 2024年度乡镇党委领导班子民主生活会(四个带头)对照检查材料.doc
- 市医疗保障局关于2024年法治政府建设工作情况的报告.docx
- 市民政局党组2024年巡察整改工作情况报告.docx
文档评论(0)