等保评测-6、Linux主机加固

最新推荐文章于 2025-02-13 16:25:38 发布
原创 最新推荐文章于 2025-02-13 16:25:38 发布 · 1k 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #运维 #安全

6、Linux主机加固

控制点

安全要求

要求解读

测评方法

预期结果或主要证据

身份鉴别

a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换

Linux系统的用户鉴别过程与其他UNIX系統相同:系统管理员为用户建立一个账户并为其指定一个口令,用户使用指定的口今登录后重新配置自己的自已的口令,这样用户就具备一个私有口令。etc/password文件中记录用户的属性信息,包括用户名、密码、用户标识、组标识等信息。现在Linux系统中不再直接保存在/etc/password文件中,通常将password文件中的口令字段使用一个“x”来代替,将/etc/shadow作为真正的口令文件,用于保存包括个人口令在内的数据。当然,shadow文件是不能被普通用户读取的,只有超级用户才有权读取。

Linux中的/etc/login.defs是登录程序的配置文件,在这里我们可配置密码的最大过期天数,密码的最大长度约束等内容。如果/etc/pam.d/system-auth文件里有相同的选项,则以/etc/pam.d/system-auth里的设置为准,也就是说/etc/pam.d/system-aut的配置优先级高于/etc/login.defs。

Linux系统具有调用PAM的应用程度认证用户。登示服务、屏保等功能,其中一个重要的文件使是etc/pam.d/system-auth(在Redhat Cent0S和Fedora系上)。/etc/pam.d/system-auth或/etc/login.defs中的配置优先级高于其他地方的配置。

另外,root用户不受pam认证规则的限制,相关配置不会影响root用户的密码,root用户可以随意设置密码的。login.defs文件也是对root用户无效的。

1)访谈系统管理员系统用户是否已设置密码,并查看登录过程中系统账户是否使用了密码进行验证登录。

2)以有权限的账户身份登录操作系统后,使用命令more查看/etc/shadow文件,核查系统是否存在空口令账户

3)使用命令more查看/etc/login. defs文件,查看是否设置密码长度和定期更换要求

#more /etc/login. defs

使用命令more查看/etc/pam.d/system-auth文件。查看密码长度和复杂度要求

4)检查是否存在旁路或身份鉴别措施可绕过的安全风险

1)登录需要密码

2)不存在空口令账户

3)得出类似反馈信息,如下:

PASS MAX_DAYS 90 #登录密码有效期90天

PASS MIN_DAYS 0 #登录密码最短修改时间,增加可以防止非法用户短期更改多次

PASS MIN_LEN 7 #登录密码最小长度7位

PASS WARN_AGE 7 #登录密码过期提前7天提示修改

4)不存在绕过的安全风险。

b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施

Linux系统具有调用PAM的应用程度认证用户、登录服务、屏保等功能,其中一个重要的文件便/etc/pam.d/system-auth ,Redhat5以后版本使用pam_tally2.so模块控制用户密码认证失败的次数上限,可以实现登录次数、超时时间,解锁时间等。

这只是针对某个程序的认证规则,在PAM目录(/etc/pam d)下形如sshd、login 等等的对应各程序的认证规则文件中进行修改。若所有密码认证均应用规则, 可直接修改system_auth文件

1)系统配置并启用了登录失败处理功能

2)以root身份登录进入Linux, 查看文件内容:

# cat /ete/pam.d/system -auth或根据linux版本不同在common文件中

3)查看/etc/profile中的TIMEOUT环境变量,是否配置超时锁定参数

得出类似反馈信息,如下:

1)和2)查看登录失败处理功能相关参数,/etc/pam.d/system—auth文件中存在"account required /lib/security/pam_tally.so deny=3

no_ magic root reset" ;

3)记录在文件/etc/profile中设置了超时锁定参数,在profile下设置TMOUT= 300s

c)当进行远程管理时,应采取必要措施、防止鉴别信息在网络传输过程中被窃听

Linux提供了远程访问与管理的接口,以方便管理员进行管理操作,网络登录的方式也是多样的,例如可以使用Telnet登录,也可以使用SSH登录。但是,Telnet不安全。I因为其在教据传输过程中,账户与密码均明文传输,这是非常危险的。黑客通过一些网络对嗅探工是能够轻易地的窃取网络中明文传输的账户与密码,因此不建议通过Telnet协议对服务器进行远程管理。针对Telnet协议不安全这种情况,可以在远程登录时使用SSH协议。其原理跟Telnet类似,只是其具有更高的安全性。SSH是一个运行在传输控制层上的应用程序,与Telnet相比,它提供了强大的认证与加密功能,可以保证在远程连接过程中,其传输的数据是加密处理过的。因此保障了账户与口令的安全

访谈系统管理员,进行远程管理的方式。

1)以root身份登录进入Linux查看是否运行了sshd服务,service - status-all | grep sshd

查看相关的端口是否打开,netstat -an|grep 22
最低0.47元/天 解锁文章

200万优质内容无限畅学
网安等保-主机安全测评之Linux服务器Ubuntu-22.04-LTS操作系统安全加固制作基线系统脚本分享与实践...
WeiyiGeek 唯一极客IT知识分享
08-25 2614
关注WeiyiGeek每天带你玩转网络安全运维、应用开发、物联网IOT学习!0x00 前言简述0x01 加固实践📖 帮助文档🏃 脚本使用0x00 前言简述描述: Ubuntu 22.04 LTS 是Canonical于2022年4月21日发布的操作系统,代号为Jammy Jellyfish(果酱水母), 其采用GNOME电源配置文件和流线型工作空间过渡,提高优化图形驱动程序上的桌面帧速率,使用新的加密算法迁移到OpenSSL v3以提高安全性,并且为内存安全的系统级编程添加了Rus。.........
等保2.0 测评 linux服务器加固 基本安全配置手册
qq_48257021的博客
03-05 1863
auth sufficient /lib/security/$ISA/pam_rootok.so debug: 这行配置指定了一个身份验证模块,pam_rootok.so,它允许以root用户身份进行身份验证,且在调试模式下输出额外的调试信息。这样,新用户将获得一组预定义的文件和配置,用作其个人主目录的起点。禁止所有默认的被操作系统本身启动的且不需要的帐号,当你第一次装上系统时就应该做此检查Linux提供了各种帐号,你可能不需要,如果你不需要这个帐号,就移走它,你有的帐号越多,就越容易受到攻击。
如何解决SSH超时断开的问题
linux_tcpdump的博客
02-12 1388
本文介绍下,linux中ssh连接超时时间的设置方法,以避免总是被强行退出。有需要的朋友,参考下吧。 有关修改ssh连接超时时间的方法,网上介绍的很多了。 比如下面这个: 可以减少ssh连接超时等待的时间: 方法:ssh -o ConnectTimeout=3 192.168.0.10 或修改sshd_config文件里面的UseDNS 选项,改为UseDNS no。 聪明的读者,一定会发现,上面这个修改,其实是减少ssh的连接时间,就是让ssh的响应时间快一些。 这点可以参考之前的一篇文章:ssh连接超时
**linux配置环境变量,source /etc/profile生效失败提示'abrt-cli status' timed out 。百度试了不行,求教**
郭郭GUO的博客
06-20 3799
linux配置环境变量,source /etc/profile生效失败提示’abrt-cli status’ timed out 。百度试了不行,求教 配置之后保存退出,生效时提示超时 重新打开xshell链接服务器也提示’abrt-cli status’ timed out ...
linux等保三级检查命令
UMSA
12-02 4750
一、身份鉴别 a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复 杂度要求并定期更换; 1、应核查用户在登陆时是否采用了身份鉴别措施; 用户登录服务器需要使用账户+账户口令。 2、应核查用户列表确认用户身份标识是否具有唯一性; (more /etc/passwd) //查看命令结果,第三字段不存在相同数字、用户名不存在相同名称。 3、应核查用户配置信息或测试验证是否不存在空口令用户; (more /etc/shadow) //查看命令结果,红框内的乱码表示加密以
linux之/etc/login.defs文件
z19861216的博客
10-13 2198
linux之/etc/login.defs文件
关于Linux中的Profile文件
ZERO
05-24 6464
用户可以在Profile文件中加入环境变量,比如JAVA_HOME,PATH...这样重新登录之后,这些环境变量都会得以设置,不用每次都手工设置。 Bash登陆(login)的时候,Profile执行的顺序:     1. 先执行全局Profile, /etc/profile,该文件会定义如下这些变量:PATH、USER、LOGNAME、MAIL、HOSTNAME、HISTSIZE、INP
等保2.0测评 linux服务器加固 基本安全配置手册.docx
12-25
等保2.0测评 Linux 服务器加固基本安全配置手册 Linux 服务器加固是等保2.0测评的重要组成部分,本手册提供了基本的安全配置手册,旨在帮助管理员快速实现 Linux 服务器的加固。下面是该手册中涵盖的知识点: 一、...
基于S3A3G3三级等保标准的Linux系统主机安全加固.pdf
09-06
"基于S3A3G3三级等保标准的Linux系统主机安全加固" 本文讨论了基于S3A3G3三级等保标准的Linux系统主机安全加固。随着网络安全法的实施,信息系统等级保护工作受到越来越多的重视。主机安全是等级保护测评工作中的...
Linux】等保(三级)核查の操作命令笔记(部分)
真的好想再回到那时,可现在能做的只有补救。————个人博客:https://w7h1te.github.io/
08-18 3652
Linux】等保(三级)核查の操作命令笔记(部分参考)
Linux Centos-7.5_64bit 系统等保测评内容
三人行,必有我师焉。
12-22 1537
auditctl 命令Linux 用户空间审计系统的最主要的部分,命令格式:auditctl [选项] filter,action -S syscall -F condition -k label主要参数说明见下表,auditctl 命令选项| 项目 | 可选参数 | 说明 || filter | user,exit,task,exclude | filter 详细说明哪个内核规则匹配过滤器应用在事件中。以下是其中之一的与规则匹配的过滤器: task、exit、user 以及 exclude |
/etc/login.defs配置文件
weixin_53389944的博客
12-03 931
etc/login.defs文件是用于配置系统登录设置的文件。该文件包含了一些重要的参数,如密码策略、账号锁定设置、密码过期设置等。管理员可以根据需要修改这些参数来调整系统的登录设置。
解决/etc/profile文件配置出错后,任何输出任何命令都显示不能找到的问题
2201_75342366的博客
03-29 1224
在对/etc/profile进行环境配置的时候,里面的内容出现错误,但是当时并没有发现,等我source /etc/profile完成时,输入相关的ls/vim 等命令都显示找不到文件。后面对错误的写法进行更改,再次source /etc/profile 一下就可以了。解决办法:通过下面的命令,临时生效。
等保测评 安全计算坏境之linux操作系统
weixin_45380284的博客
02-20 7020
安全计算坏境之linux操作系统 1. 身份鉴别 a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换 “1)访谈系统管理员系统用户是否已设置密码,并查看登录过程中系统账户是否使用了密码进行验证登录。 2)以有权限的账户身份登录操作系统后,使用命令more查看/etc/shadow文件,核查系统是否存在空口令账户 3)使用命令more查看/etc/login. defs文件查看是否设置密码长度和定期更换要求 #more /etc/login. defs 使用命令m
等保测评Linux测评命令
qq_50495562的博客
04-24 8551
等保测评Linux测评命令 1.cat /etc/shadow查看口令,查看账户 2.cat /etc/ssh/ssh_config permitemptypasswords 注释或者后面加no 不允许空口令远程登录 3.cat /etc/pam.d/system-auth 查看密码复杂度 grep pam_cracklib.so模块查看,centos7之后是pam_pwquality.so模块。限制root用户,添加 enforce_for_root 密码复杂度配置详解 4.cat /etc
/etc/profile的TMOUT
最新发布
qq_48257021的博客
02-13 530
3、登录其他用户然后su root 切换至root后,无操作300秒后会退出root登录。1、远程采用ssh登录系统,在无操作下300秒会退出终端。在/etc/profile最后一行配置TMOUT=300。然后执行source /etc/profile使配置生效。2、本地登录的root不会超时退出。
Linux密码定期更换时间配置
凌奇寒雪的博客
04-28 7140
Linux密码定期更换时间配置的一些注意事项。
账号安全基本措施
骑猪兜风的博客
05-18 1048
账号安全基本措施● 系统账号清理● 密码安全控制● 命令历史限制● 终端自动注销● 常用选项使用su命令切换用户linux中的PAM安全认证 账号安全基本措施 ● 系统账号清理 将非登录用户的Shell设为/sbin/nologin 锁定长期不使用的账号 删除无用的账号 锁定账号文件passwd、shadow [root@localhost~]# chattr-i /etc/passwd /etc/shadow 解锁文件查看状态 [root@localhost~]# Isattr /etc.
Linux等保(三级)核查指导
热门推荐
枪菜且白给的博客
07-15 4万+
Linux等级保护
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值