linu 主机安全分析和总结.docxVIP

Linux 主机安全 安全 物理安全 软件安全(kernel+softwares) 网络安全 系统安全 BIOS 密码,更改合适启动选项（禁止改 bios/禁止更改第一启动选项，防止恶意的引导） GRUB 密码 系统密码(密码策略) 分区加密 最小权限法(su/sudo) 最小服务法 文件安全(suid/sgid/stick/chattr) pam 模块的使用 升级系统和软件 网络安全 tcpwrappers iptables SSH VPN SELINUX 入侵检测(AIDE/rootkit) 系统安全: 一、BIOS 密码(bios/cmos) 调整 BIOS 引导设置 修改启动顺序，正确做法：第一启动选项为磁盘 开机--一直按着 delete--Boot--Boot Device priority--1st Boot Device [STAT: ] 设置管理密码 开机--一直按着 delete--Boot--Security--....................... 禁用 Ctrl+Alt+Del 重启热键 RHEL5: --注释 32 行 # vim /etc/inittab 32 #ca::ctrlaltdel:/sbin/shutdown -t3 -r now # init q --让更改的配置马上生效，不需要重启服务器。 RHEL6: # vim /etc/init/control-alt-delete.conf --注释以下两行#start on control-alt-delete #exec /sbin/shutdown -r now Control-Alt-Delete pressed # init q 二、GRUB 密码两重密码： 修改菜单的密码 引导密码 －－加密引导菜单的作用:修改启动参数时需要验证密码 －－进入所选择的系统前需要验证密码 在 grub.conf 文件中设置密码的方式password 明文密码串 password --md5 加密密码串 密码设置行的位置 全局部分（第一个“title”之前） 系统引导参数部分（每个“title”部分之后） # grub-md5-crypt 先生成密文密码 $1$Qq15d$bEjy8VeMCrNcIJCEESqyY/ # vim /boot/grub/grub.conf default=0 timeout=5 splashimage=(hd0,0)/grub/splash.xpm.gz password --md5 $1$Qq15d$bEjy8VeMCrNcIJCEESqyY/ --修改启动菜单时需要输入此 密码 title Red Hat Enterprise Linux Server (2.6.18-8.el5) password 123456 --启动某个系统时需要输入的密码，一般不设置 root (hd0,0) ?? 系统策略(密码策略) 检查系统中有无空密码账号： 测试：创建一个 u01 帐号，无密码，去 passwd 以及 shadow 文件中删掉密码进行测试# awk -F: ($2 == ) {print} /etc/shadow u01::16093:0:99999:7::: # awk -F: ($2 == ) {print} /etc/passwd u01::502:503::/home/u01:/bin/bash 检查系统中有无多余的管理员账号(管理员的 uid 为 0)： # awk -F: ($3 == 0) {print} /etc/passwd 设置账号的属性： 账号的过期时间设置： # usermod -e 2012-10-1 u01 --修改一个已经存在的账号的过期时间# useradd -e 2012-10-1 02 --在新建用户时指定过期时间 # chage -M 30 -m 7 -W 7 -I 3 userName # chage -d 0 userName -M 多长时间改一次密码 -m 修改密码的最小间隔 -W 密码过期警告时间 -I 密码过期延时时间 -d 定义第一次修改密码的时间，-d 0 从来都没改过密码，所以第一次登录时需要修改密码 检查程序用户的登录 Shell 是否异常 # awk -F: $7!=/sbin/nologin {print $1,$7} /etc/passwd root /bin/bash sync /bin/sync shutdown /sbin/shutdown halt /sbin/halt mysql /bin/bash user01 /bin/bash user02 /bin/bash 减少记录命令历史的条数环境变量 HISTSIZE # vim /etc