对linux主机进行安全加固(基线配…

最新推荐文章于 2024-08-21 10:29:54 发布
原创 最新推荐文章于 2024-08-21 10:29:54 发布 · 4.8k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文提供了一系列针对系统安全的加固措施,包括账号管理、远程访问控制、禁止ICMP重定向、关闭不必要的数据包转发功能等。旨在帮助管理员提高系统的安全性。

1.
应删除或锁定与设备运行、维护等工作无关的账号。
加固建议
参考配置操作
删除用户:#userdel username;
锁定用户:
1)修改cat /etc/shadow文件,用户名后加*LK*
2)将cat /etc/passwd文件中的shell域设置成/bin/false
3)#passwd -l username
只有具备超级用户权限的使用者方可使用,#passwd -l username锁定用户,用#passwd –d username解锁后原有密码失效,登录需输入新密码,修改/etc/shadow能保留原有密码。
禁止账号交互式登录:
修改/etc/shadow文件,用户名后密码列为NP;
"

2.
配置可远程访问地址范围
"
问题描述
对于通过IP协议进行远程维护的设备,设备应支持对允许登陆到该设备的IP地址范围进行设定
加固建议
参考配置操作
编辑/etc/default/inetd文件,将其中的ENABLE_TCPWRAPPERS行前的注释去掉,并修改ENABLE_TCPWRAPPERS=NO为ENABLE_TCPWRAPPERS=YES。
编辑/etc/hosts.allow和/etc/hosts.deny两个文件
vi /etc/hosts.allow
增加一行 <service>: 允许访问的IP;举例如下:
sshd:192.168.1.:allow #允许192.168.1的整个网段使用ssh访问
in.telnetd:192.168.1. #允许192.168.1网段的IP通过telnet登录。
sshd:132.96.:allow #允许132.96的整个网段使用ssh访问
in.telnetd:132.96. #允许132.96网段的IP通过telnet登录

vi /etc/hosts.deny
增加如下:
in.telnetd:all  #拒绝所有IP通过telnet访问
sshd:all      #拒绝所有IP通过ssh访问
重启进程或服务:
#pkill -HUP inetd
#/etc/init.d/inetsvc stop
#/etc/init.d/inetsvc start

3.
 禁止ICMP重定向
 "问题描述
主机系统应该禁止ICMP重定向,采用静态路由
加固建议
参考配置操作
禁止系统发送ICMP重定向包:
在/etc/rc2.d/S??inet中做如下参数调整,或在命令行中输入:
ndd -set /dev/ip ip_send_redirects 0 # default is 1
ndd -set /dev/ip ip6_send_redirects 0
设置in.routed运行在静态路由模式:
创建文件/usr/sbin/in.routed为以下内容:
#! /bin/sh
/usr/sbin/in.routed –q
改变文件属性:
chmod 0755 /usr/sbin/in.routed
"

4.
关闭不必要的数据包转发功能
"问题描述
对于不做路由功能的系统,应该关闭数据包转发功能
加固建议
参考配置操作
vi /etc/init.d/inetinit:
IP Forwarding (IP转发)
 a. 关闭IP转发
ndd -set /dev/ip ip_forwarding 0
 b. 严格限定多主宿主机,如果是多宿主机,还可以加上更严格的限定防止ip spoof的攻击
ndd -set /dev/ip ip_strict_dst_multihoming 1
 c. 转发包广播由于在转发状态下默认是允许的,为了防止被用来实施smurf攻击,关闭这一特性
ndd -set /dev/ip ip_forward_directed_broadcasts 0
 路由:
      a. 关闭转发源路由包
         ndd -set /dev/ip ip_forward_src_routed 0
或在命令行中输入:
ndd -set /dev/ip ip_forwarding 0
ndd -set /dev/ip ip_strict_dst_multihoming 1
ndd -set /dev/ip ip_forward_directed_broadcasts 0
ndd -set /dev/ip ip_forward_src_routed 0
"

5.
配置交互用户登陆超时
"问题描述
对于具备字符交互界面的设备,应配置定时帐户自动登出
加固建议
参考配置操作
可以在用户的.profile文件中""HISTFILESIZE=""后面增加如下行:
vi /etc/profile
$ TMOUT=180;export TMOUT
改变这项设置后,重新登录才能有效。
"

6.
 重要文件和目录的权限设置
"问题描述
涉及账号、账号组、口令、服务等的重要文件和目录的权限设置不能被任意人员删除,修改。
加固建议
参考配置操作
查看重要文件和目录权限:ls –l
更改权限:
对于重要目录,建议执行如下类似操作:
# chmod -R 750 /etc/init.d/*
这样只有root可以读、写和执行这个目录下的脚本。
"

7.
设置eeprom 安全密码
"问题描述
设置eeprom 安全密码。
加固建议
参考配置操作
增加eeprom硬件口令保护:
# /usr/sbin/eeprom (显示当前eeprom配置)
# /usr/sbin/eeprom security-mode=command ( 可选的有command, full, none)
ASdfg_123
# eeprom security-password命令给openboot设置强壮口令
"

8.
关闭不必要的进程和服务
"问题描述
列出系统启动时自动加载的进程和服务列表,不在此列表的需关闭
加固建议
参考配置操作
检查/etc/rc2.d和/etc/rc3.d目录下的所有""S""打头的脚本文件,将那些启动不必要服务的脚本文件改名,确认新文件名不以""S""打头。
重启动确认这些变动生效,检查/var/adm/messages日志文件,用ps -elf检查是否还有无关进程启动。
"
[root@GDN0C-ZHWG-04 rc2.d]# ls
K01tog-pegasus         K24irda          K68rpcidmapd       K89rdisc            S12syslog
K02cups-config-daemon  K25squid         K69rpcgssd         K90bluetooth        S15mdmonitor
K02haldaemon           K30sendmail      K72autofs          K94diskdump         S26apmd
K02NetworkManager      K30spamassassin  K73ypbind          K95firstboot        S40smartd
K03messagebus          K35smb           K74ipmi            K95kudzu            S50iprinit
K03rhnsd               K35vncserver     K74nscd            K99readahead        S50iprupdate
K05atd                 K35winbind       K74ntpd            K99readahead_early  S51iprdump
K05saslauthd           K36mysqld        K75netfs           S02lvm2-monitor     S55sshd
K10cups                K44rawdevices    K85mdmpd           S05openibd          S85gpm
K10dc_server           K50netdump       K85opensmd         S06cpuspeed         S87iiim
K10psacct              K50snmpd         K86nfslock         S08arptables_jf     S90crond
K12dc_client           K50snmptrapd     K87auditd          S08iptables         S90xfs
K15httpd               K50tux           K87portmap         S09isdn             S95anacron
K20nfs                 K50vsftpd        K88wpa_supplicant  S09pcmcia           S99local
K20rwhod               K50xinetd        K89netplugd        S10network

9.
 账户锁定阀值
"问题描述
对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。
加固建议
参考配置
当本地用户登陆失败次数等于或者大于允许的重试次数则账号被锁定:
设置帐户登录失败前允许尝试的次数:
vi /etc/default/login
在文件中将RETRIES行前的#去掉,并将其值修改为RETRIES=7。
设定当本地用户登陆失败次数等于或者大于允许的尝试次数时锁定帐号:
vi /etc/security/policy.conf
设置LOCK_AFTER_RETRIES=YES
设置哪些帐户在达到登录失败次数时锁定,如下所示,将要修改的帐户行后面加lock_after_retries=yes
vi /etc/user_attr
root::::auths=solaris.*,solaris.grant;profiles=All;type=normal;lock_after_retries=yes
为了安全可以将root和不需要锁定的帐户设置为no。
"

主机基线安全加固方案总结
08-22
内容概要:本文档详细介绍了主机基线安全加固方案,涵盖了Red Hat、Debian、Solaris、Windows系列操作系统以及华为、华三、中兴等网络设备的安全加固措施。主要内容包括账户管理、密码策略、权限控制、日志审计、...
Linux系统安全基线.pdf
最新发布
05-15
Linux系统安全基线是一份详细阐述如何设置和Linux系统以满足安全要求的文档。...无论是企业、组织还是个人用户,对于Linux系统的安全置都应该给予足够的重视,并结合这份基线文档进行系统的安全加固工作。
主机加固基线策略.pdf
09-22
Windows,linux主机加固方案和路线,有需要下载即可;Windows,linux主机加固方案和路线,有需要下载即可;Windows,linux主机加固方案和路线,有需要下载即可;Windows,linux主机加固方案和路线,有需要下载即可;Windows,linux主机加固方案和路线,有需要下载即可;Windows,linux主机加固方案和路线,有需要下载即可;
Linux主机安全基线加固
Kason_iWiki
09-15 2133
文章目录1.确保置了bootloader置的权限2.确保核心转储受到限制3.确保启用了地址空间布局随机化(ASLR)4.确保已置SSH空闲超时间隔5.确保SSH MaxAuthTries设置为4或更低6.确保已禁用SSH空密码登录7.确保置了密码尝试失败的锁定8.确保默认用户umask限制为027或更高9.确保默认用户shell超时为900秒或更短10.Nginx server_tokens基线11.Nginx未禁用隐藏文件12.OpenSSL版本1.0.2k ,存在漏洞 1.确保置了bootlo
Windows-安全加固安全基线(非常详细)零基础入门到精通,收藏这一篇就够了
小司机的奥拓
05-22 2813
安全基线/安全加固第二期,本期以Windows系统为例,主要以2012及2016的版本为主,2012以前的版本由于安全性问题,日常使用率较少,所以这里并未进行编写。此外,加固前请对系统业务运行的服务、端口等信息进行摸查及评估,并在测试机先行测试,。《Redis-安全加固/安全基线》《MongoDB-安全加固/安全基线》《Oracle-安全加固/安全基线》《MySQL-安全加固/安全基线》《Sql-Server-安全加固/安全基线》《IIS-安全加固/安全基线
18项基线加固脚本
09-01
LINUX下的18项基线安全加固
Windows主机安全加固&检查列表
02-12
Windows主机安全加固&检查列表,包括账户管理、本地策略、服务、网络协议、注册表设置、文件系统与权限、常规安全
linux安全加固基线操作手册
11-13
Centos6.8 作为服务器操作系统安全加固参考文档,涉及较多、较全
精选资源
基于S3A3G3三级等保标准的Linux系统主机安全加固.pdf
09-06
因此,本文提出了一种使用部署安全加固模板机后再对应用业务进行迁移的方式,完成信息系统的主机安全加固。 S3A3G3三级等级保护要求根据《计算机信息系统安全保护等级划分准则》和《信息系统安全等级保护定级指南》...
精选资源
linux主机运维相关安全加固
09-02
首先,从标题中我们可以看出,本资料主要涉及的是Linux主机的运维安全加固Linux系统由于其开源的特性,在服务器领域被广泛使用,其安全性的提升对于保障企业核心数据和业务的稳定运行具有至关重要的作用。 具体到...
主机安全基线检查表
06-29
2018年主机基线安全检查表,可根据该表对主机和服务器进行安全加固检测!
linux锁定用户 *LK*,如何在Linux锁定和解锁多个用户
weixin_39839968的博客
04-28 673
原标题:如何在Linux锁定和解锁多个用户如何在Linux锁定和解锁多个用户我们将创建以下三个Shell脚本来锁定和解锁多个帐户和查看账号状态。创建锁定用户的脚本创建查看用户状态的脚本创建解锁用户的脚本列出需要锁定或解锁的用户列表,前提是已经创建了下面的用户:[root@localhost ~]# cat user-lists.txt u1u2u3u4u5[root@localhost ~]#...
linux主机进行安全加固基线置不包括安全漏洞修补)
weixin_33796177的博客
12-03 609
1. 应删除或锁定与设备运行、维护等工作无关的账号。 加固建议 参考置操作 删除用户:#userdel username; 锁定用户: 1)修改cat /etc/shadow文件用户名*LK* 2)将cat /etc/passwd文件中的shell域设置成/bin/false 3)#passwd -l username 只有具备超级用户权限的使用者方可使用,#pass...
Linux 安全基线检查与加固_linux基线加固
baimao__Ch的博客
08-21 3738
umask值(用户文件创建掩码)是在Linux和其他类Unix系统中使用的一个重要概念,用于控制用户在创建新文件或目录时,默认赋予这些文件或目录的权限。umask是一个由三个八进制数字组成的值,分别对应文件或目录的用户(owner)、组(group)、其他人(others)的权限位。每个数字分别代表要从默认的最大权限中移除的权限位。在八进制表示中,数字4表示读权限(r),2表示写权限(w),1表示执行权限(x),而0表示没有任何权限。
Linux操作系统安全防护基线置要求
weixin_51590879的博客
09-05 1817
Linux操作系统安全防护基线置要求
Linux 安全置规范
weixin_33857230的博客
03-20 908
第一章 概述1.1适用范围原来在IDC机房里面进行上架,他们说了必须通过安全扫描才能接入外网,所以就得很苦逼的一个一个去改置,有的参数不小心置错了还得重新装系统,郁闷惨了。整理了一些文本给大家提供参考,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。第二章 安全置要求2.1账号编号: 1要求内容应按照不同的用户不同的账号,避免不同用...
Linux——/etc/shadow文件(管理用户和组)
热门推荐
hutongkoudemihu的博客
06-25 1万+
/etc/shadow文件是/etc/passwd的影子文件,二者之中的记录行是一一对应的。这个文件并不由/etc/passwd而产生的,而是由pwconv命令根据/etc/passwd文件中的数据字段生成。这两个文件是应该是对应互补的 shadow内容包括用户及被密的密码以及其它/etc/passwd不能包括的信息,比如用户的有效期限等; 这个文件只有root权限可以读取和操作,权限如下:/etc/shadow的权限不能随便改为其它用户可读,这样做是危险的。如果你发现这个文件
linux锁定用户 *LK*,使用passwd、usermod命令在Linux锁定和解锁用户帐户
weixin_30446393的博客
04-28 7820
本文将帮助你在Linux操作系统中手动锁定和解锁用户帐户。前言如果你的组织中已实施密码策略,则无需查找此选项,但是,如果你将锁定时间设置为24小时,则在这种情况下你可能需要手动解锁用户的帐户。这可以通过三种方式使用以下两个Linux命令来完成。1、passwd命令用于更新用户的身份验证令牌,通过调用Linux-PAM和Libuser API来完成此任务,参考Linux passwd命令示例。为了阐...
passwd安全加固脚本分享
漠效的博客
04-12 1017
[root@service ~]# cat /App/script/OPS/check_passwd.sh #!/bin/bash check() { TIME=date +%F-%R if [ -s /etc/passwd ];then echo “KaTeX parse error: Expected 'EOF', got '\cp' at position 59: …file.log els...
中间件mysql安全基线自动检查脚本
07-20
### 回答1: 中间件MySQL安全基线自动检查脚本是一种自动化工具,用于检查MySQL数据库的安全置是否符合基线标准。这种脚本通常由数据库管理员使用,以确保数据库系统的安全性和完整性。以下是关于中间件MySQL安全基线自动检查脚本的一些要点: 首先,中间件MySQL安全基线自动检查脚本可以检查数据库服务器的一系列安全设置,例如访问控制、密码策略、日志记录、网络安全等。脚本会自动扫描数据库系统的文件和参数设置,并与安全基线相比较,给出合规性评估报告。 其次,这种脚本提供了一种自动化的方式来评估数据库的安全性。传统的手动检查工作通常费时费力,并且容易出现遗漏或错误。而安全基线自动检查脚本可以快速、准确地检查数据库的多个安全置,从而提高了安全性和效率。 此外,这种脚本还可以根据实际需求进行定制化置。例如,可以设置不同的基线标准、安全级别或策略,以满足特定的安全要求。管理员可以根据自己的需求选择执行相应的检查项,并根据报告结果进行相应的调整和修复。 最后,中间件MySQL安全基线自动检查脚本还可以与其他安全工具和监控系统集成。它能够生成详细的检查报告,包括问题描述、解决方案和建议,帮助管理员更好地理解和解决安全问题。此外,还可以将脚本与自动化脚本或工作流程集成,实现自动检查和修复的流程化管理。 总结来说,中间件MySQL安全基线自动检查脚本是一种非常有用的工具,可以自动化地检查数据库系统的安全置,提高数据库系统的安全性和合规性,并节省管理员的时间和精力。 ### 回答2: 中间件MySQL安全基线自动检查脚本是一种能够自动检查MySQL数据库安全性的工具。它可以通过检查数据库的置和操作是否符合安全标准,来评估数据库的安全性水平。 该脚本通常包含以下检查项: 1. 访问控制:检查是否存在弱密码、禁用了匿名访问、只允许了合法的远程连接等。 2. 权限设置:检查数据库用户的权限是否合理,并且没有给予不必要的特权。 3. 数据备份与恢复:检查备份与恢复策略是否正确,并且备份数据是否密和存储在安全的位置。 4. 日志监控与审计:检查是否启用了日志功能,日志是否记录关键操作,并且是否有定期审计机制。 5. 数据密:检查是否启用了数据库数据的密功能,以保护敏感数据的安全性。 6. 防火墙设置:检查数据库服务器是否置了防火墙,限制了对数据库的非法访问。 7. 更新与升级:检查数据库是否安装了最新的安全补丁,以修复已知的安全漏洞。 通过使用中间件MySQL安全基线自动检查脚本,可以快速、准确地评估数据库安全性,并及时发现潜在的安全风险。同时,该脚本也可以为数据库管理员提供定期的安全检查报告,帮助他们了解数据库的安全状况,并采取相应的措施来强数据库的安全防护。 ### 回答3: 中间件MySQL安全基线自动检查脚本是一种自动化工具,用于评估和检查MySQL数据库的安全置是否符合最佳实践和安全标准。该脚本可以帮助管理员快速发现和修复数据库中的安全漏洞和置问题,从而提高数据库的安全性。 MySQL数据库作为一种常用的关系型数据库管理系统,在企业和个人中广泛使用。然而,由于置错误或不当的安全设置,数据库可能暴露在各种攻击和威胁之下。因此,使用安全基线自动检查脚本对MySQL进行检查和评估是非常重要的。 这个脚本的工作原理是通过扫描MySQL数据库的文件和运行状态,检查是否存在以下问题: 1. 弱密码:检查数据库用户的密码强度是否符合要求,并提出改进建议。 2. 未授权访问:检查是否存在未授权的访问权限,比如未删除默认用户、未禁用不必要的用户等。 3. 不安全的网络访问:检查MySQL是否以默认端口运行,并建议更改默认端口,以减少被扫描和攻击的风险。 4. 数据备份和恢复:检查数据库备份和恢复策略是否合理,并建议改善。 5. 日志记录和审计:检查是否启用了日志记录和审计功能,以便及时发现和应对安全事件。 6. 数据库补丁和升级:检查是否有待安装的补丁,并提醒管理员及时更新数据库软件。 该脚本还可以生成详细的检查报告,包括问题的严重性级别和优先级,以帮助管理员有针对性地解决数据库的安全问题。 总而言之,中间件MySQL安全基线自动检查脚本可以帮助管理员快速评估和提升MySQL数据库的安全性,保护数据库不受恶意攻击和未授权访问的威胁。在企业和个人使用MySQL数据库时,应定期运行该脚本并根据检查结果采取相应的安全措施,以确保数据库的安全和稳定运行。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值