Linux操作系统安全防护指导手册.docx

Linux操作系统安全防护指导手册  目 录 TOC \o 1-3 \h \z \u TOC \o 1-3 \h \z \u 1. 配置管理 3 1.1 用户账户管理 3 1.2 身份鉴别 4 1.3 操作系统登录超时 6 1.4 限制单个用户对系统资源使用限度 7 1.5 限制终端登录 7 1.6修改umask值 8 1.7禁用系统多余服务 8 1.8 root远程登录禁用 8 2. 接入管理 9 2.1 禁用大容量存储介质（USB存储设备） 9  配置管理 用户账户管理 加固项目名称 禁用默认账户 加固说明 及时删除多余的、过期的帐户，避免共享帐户的存在，因为多余的账户和默认账户容易导致恶意用户和非授权用户直接通过这些账户获取系统的访问权限。例如adm, lp、shutdown、 halt、mail、news、uucp、operator、games、gopher，还有些比较特殊账户如：oracle、mysql数据库账户和需要数据同步使用snyc账户等需注意。 操作步骤 首先 在root账户下，使用vi编辑文件etc/passwd。（vi /etc/passwd）注： （编辑文件需采用vi编辑器，vi文件名进入文件后，每次删除或输入前需输入i，输入完毕后按键盘左上角的Esc，然后输入：wq！按回车键，若修改中途输入错误不知如何操作时可按Esc，然后输入：q！） 在多余账户前面用#注释该账户。 备注 身份鉴别 1.2.1用户口令复杂度策略 加固项目名称 用户账户复杂度策略 加固说明 口令长度不小于8位，由字母、数字和特殊字符组成，不得与账户名相同，避免口令被暴力破解。 操作步骤 1．使用vi编辑器编辑文件etc/pam.d/system.auth（vi /etc/pam.d/system.auth），配置密码复杂度，在该文件文件中添加以下参数： password requisite pam_cracklib.so retry =3 minlen=8 ucredit=1 lcredit=1 dcredit=2 ocredit=1 注：retry：用户有几次出错的机会 minlen ：最小密码长度 ucredit：大写字母至少几个 lcredit：小写字母最小几个 dcredit：数字至少几个 ocredit：其它特殊字符至少几个 备注 1.2.2用户登录失败锁定 加固项目名称 用户登录失败锁定 加固说明 配置当用户连续认证失败次数超过5次，锁定该用户使用的账户10分钟，避免账户被恶意用户暴力破解。 操作步骤 1．使用vi编辑器编辑文件etc/pam.d/system.auth（vi /etc/pam.d/system.auth），配置密码复杂度，在该文件文件中添加以下参数： account required pam_tally2.so deny=5 unlock_time=300 备注 1.2.3用户口令周期策略 加固项目名称 用户口令周期策略 加固说明 设置账户口令的生存期不长于90天，避免密码泄露。 操作步骤 1．使用vi编辑器，编辑文件etc/login.defs （Vi /etc/login.defs），编辑一下参数： PASS_MAX_DAYS 180 //密码最大有效天数 PASS_MIN_DAYS 1 //密码修改之间最小天数 PASS_MIN_LEN 8 //密码最小长度 PASS_WARN_AGE 28 //密码失效前提前多少天告警 注意修改密码策略参数时。一定要在规定时间内修改密码。 备注 操作系统登录超时 加固项目名称 登录超时 加固说明 设置登录超时功能，避免在没注销其在系统的登录状态，被恶意用户利用或被非授权用户误用。 操作步骤 使用vi编辑器，编辑文件etc/ profile （vi /etc/profile），在文件里面加入TMOUT=300:。 备注 限制单个用户对系统资源使用限度 加固项目名称 限制单个账户对系统资源使用限度 加固说明 根据需要限制单个用户对系统资源的最大或最小使用限度，避免某些用户占用的资源过多的系统资源，从而导致服务器因资源耗尽引起故障。 操作步骤 使用vi编辑器，编辑文件/etc/security/limits.conf（vi /etc/security/limits.conf），在里面填加如下参数： d5000 hard nproc 6000 d5000 soft nproc 6000 注：此配置表示d5000用户的最大进程数为6000 备注 限制终端登录 加固项目名称 限制终端登录 加固说明