Linux系统安全加固手册

1、使用命令passwd -u用户名解锁需要恢复的账号Red Hat Linux系统安全加固Redhat是目前企业中用的最多的一类Linux，而目前针对Redhat攻击的黑客也越来越多了 我们要如何为这类服务器做好安全加固工作呢?一.账户安全1.1锁定系统中多余的自建帐号检查方法:执行命令#cat /etc/passwd#cat /etc/shadow查看账户、 口令文件， 与系统管理员确认不必要的账号。 对于一些保留的系统伪帐户如：sys,adm uucp, Ip, nuucp, hpdb, www, daemon等可根据需要锁定登陆。备份方法：#cp -p /etc/shadow /etc/s

2、hadow_bak加固方法:bin,#cp -p /etc/passwd/etc/passwd_bak使用命令passwd -I用户名锁定不必要的账号root !K!D!0! rooti/root i/biivbashbin：3t: 1: L: bin：/bin： / Ebin/ no login daenon:x： 2:2; daenoni/sbiri： /sbin/noloin adn ;/var/adni/Ebin/nolocinLp:4; 7: lpi/vai;/spool/lpd； / stir/no1loginsync:x: 5: 0: sync:/sbin:/bin/syrLCs

3、Kut dcum： it: i 0: shut doMTL：/sbin:/sbin/shutd&vmhalt! : 7: Oihalt:/sbiyL：/sbitt/hsltmai l：x：8:12: nail: /var/spal/mai 1:/sb in/rEclo g innews:z:S:13:news;/etc/news;uucp:x: ID: 14:uucp:/var/spoo 1/uucp:/sbir/nologin operator:z:11:0:operator:/root:/sbin/noloin12: 100: ganues :/usr/gaes:/ sbin/fi

4、ologingophei:x;13:30: gopher :/var/goplrer:ftp：K;14;5D:FTPUer;/vau/ftpi/abin/noiaginnobody:x:93: 90:Nobody:/:/sbiik/nologiri rpni!Ki37! 1? 11/vsr1 iti/rpm! /biri/bash69: 59: virtual console n&mory ovner: /deu:/Ebin/mlosmnscd:x:28:23:NSCD Daenon：/:/sbir/naloginS3hd；i; 74; ?4 iPrivilBge-gepar arte

5、d SSHi/var/eiapty/shdi/sbin/noloin #PG；j;32;j2：P7vtTn0Fj?0i RPCusr;/1;/sbin/nlQgiia rpGusr；K；2S;22;KPC Service Vs&x;/var/lib/nfs:/sbin/nfsnobody:K:66534:66534:Anonymous N7S User:/var/lrb/nfs:/sbin/nologin mai lrLtill! Xi 47 ：47: : /y ai? sp a o l/mqueue: /sb in/nologin siwisp :ir: 51:51:/var/ sp

6、c ai / s b in/no Id inpcap ：3 j/sbin/nloxn gk；:42:4.2: :/ar/gdm:/sbin/rcloinpost gres; si26!26; PostgreSQL Serveri/var/lib/jggql!/bin/tiash pp:x:5D0: 500:/hojne/pp:/bin/bashErootlcicalhost root#rootloGalhot root# passwd一1 ppLacking pa?fee工pp.passed:Successu 小Er oat localhost root #ErodtiSlociLhost r

7、act #root(localhost root # |.- ：/ / .风险：需要与管理员确认此项操作不会影响到业务系统的登录1.2设置系统口令策略检查方法：使用命令#cat /etc/login.defs|grepPASS查看密码策略设置备份方法：cp -p /etc/login.defs /etc/login.defs_bak加固方法：#vi /etc/login.defs修改配置文件PASS_MAX_DAYS #新建用户的密码最长使用天数PASS_MIN_DAYS #新建用户的密码最短使用天数PASS_WARN_AGO#新建用户的密码到期提前提醒天数PASS_MIN_LEN #最小密码

8、长度9rootlcicalhost rocrtjS cat /etc/Lagin.defyft *REQUIKED#* Direct oiy where mailboxea residCj _or_ name of file, relative t a theJf home diiectory. If you _do_ defii& bothj MAIL.DIR takes i)recederLce电QMAIL_MRis for mailva r/spool/nnl .mailPASS_MAX_DAYSFAS5_MIJi_DM5PASS WARN牺Ermm.bei of day a p

9、assword may be口sed.num.bex of days allonredpassirord changes-acc epl able password length MaiuiumTiIiniiRujiiFTiriiriujiiNumber of days warning given betore a password expires.风险：无可见风险1.3禁用root之外的超级用户检查方法：#cat /etc/passwd查看口令文件，口令文件格式如下：login _n ame:password:user_ID:group_ID:comme nt home_dir：comma

10、ndlogin _n ame:用户名password:加密后的用户密码user_ID:用户ID，(1 6000)若用户ID=0,则该用户拥有超级用户的权限。查看此处是否有多个ID=0。group_ID:用户组IDcomment用户全名或其它注释信息home_dir:用户根目录comma nd用户登录后的执行命令备份方法:#cp -p /etc/passwd /etc/passwd_bak加固方法：使用命令passwd -l 用户名锁定不必要的超级账户。使用命令passwd -u 用户名解锁需要恢复的超级账户。风险：需要与管理员确认此超级用户的用途。1.4限制能够su为root的用户检查方法：#

11、cat /etc/pam.d/su,查看是否有auth required /lib/security/pam_wheel.so这样的配置条目备份方法：#cp -p /etc/pam.d /etc/pam.d_bak加固方法：#vi /etc/pam.d/su在头部添加：auth required /lib/security/pam_wheel.so group=wheel这样，只有wheel组的用户可以su到root#usermod -G10 test将test用户加入到wheel组authsufficientsoif Uncomment tke following lin& to i

12、mplicitly trustin the vrheel group.Sfauthsufficient/libliliIFIF* *222222222222222222222222222222nfnf闭闭闭闭闭闭闭用闭闭闭闭闭闭O O 吕E E定总 总C C密夕亨1TX1TXililx x尸弓歹片rii Thhkhkl l: :l l; ;t t; ;1 1 :h:hL L: :1 1 : :l l; ;1 1 : :i i! !1 1 ! !1 1 ! !1 1 ! !t t: :1 1 : :#闭闭闭闭闭闭闭闭闭用闭闭闭闭闭otot黄关关关关关关关关关捷关关关关 - -o o o o o

13、o o o r-r- o o o o O OcoutOlocalhcit rocrtlocalhost N 3root localhostkudzu.syslog netfsnetvo fkrandomrawd.eviciespcmciasaslauthd ksytable apmd atdgpm autof siptables irda4.2设置访问控制策略限制能够管理本机的IP地址检查方法：#cat /etc/ssh/sshd_config查看有无AllowUsers的语句备份方法：#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak加固

14、方法：#vi /etc/ssh/sshd_config，添加以下语句AllowUsers *10.138.*.*此句意为：仅允许/16网段所有用户通过ssh访问保存后重启ssh服务#service sshd restart风险：需要和管理员确认能够管理的IP段4.3禁止root用户远程登陆检查方法：#cat /etc/ssh/sshd_config查看PermitRootLogin是否为no备份方法：加固方法:#vi /etc/ssh/sshd_configPermitRootLogi n no保存后重启ssh服务service sshd restartFerniitlT.

15、aritLQjiTL yesAlloivUreis.世ILL 138.札电fiStrictMtitles yes图6风险：root用户无法直接远程登录，需要用普通账号登陆后su4.4限定信任主机检查方法：#cat /etc/hosts.equiv查看其中的主机#cat /$HOME/.rhosts查看其中的主机备份方法：#cp -p /etc/hosts.equiv /etc/hosts.equiv_bak#cp -p /$HOME/.rhosts /$HOME/.rhosts_bak加固方法：#vi /etc/hosts.equiv删除其中不必要的主机#vi /$HOME/.rhosts删除

16、其中不必要的主机风险：在多机互备的环境中，需要保留其他主机的IP可信任。4.5屏蔽登录banner信息#cp -p /etc/ssh/sshd_config/etc/ssh/sshd_c onfig_bak检查方法：#cat /etc/ssh/sshd_config查看文件中是否存在Banner字段，或banner字段为NONE#cat /etc/motd查看文件内容，该处内容将作为banner信息显示给登录用户。备份方法：#cp -p /etc/ssh/sshd_config/etc/ssh/sshd_config_bak#cp -p /etc/motd /etc/motd_bak加固方法：

17、#vi /etc/ssh/sshd_configbanner NONE#vi /etc/motd删除全部内容或更新成自己想要添加的内容风险：无可见风险4.6防止误使用Ctrl+Alt+Del重启系统检查方法：#cat /etc/inittab|grep ctrlaltdel查看输入行是否被注释备份方法：#cp -p /etc/inittab /etc/inittab_bak加固方法：#vi /etc/inittab在行开头添加注释符号“#”#ca:ctrlaltdel:/sbin/shutdown-t3 -r nowftTrap CTRL-ALT-DELETEca: : ct rialhiri

18、/shytdown - r3rnov图7风险：无可见风险五、用户鉴别5.1设置帐户锁定登录失败锁定次数、锁定时间检查方法：#cat /etc/pam.d/system-auth查看有无auth required pam_tally.so条目的设置备份方法：#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak加固方法：#vi /etc/pam.d/system-authauth required pam_tally.so onerr=fail deny=6 unlock_time=300设置为密码连续错误6次锁定，锁定时间300秒解锁用

19、户faillog -u -r风险：需要PAM包的支持;对pam文件的修改应仔细检查，一旦出现错误会导致无法登陆；当系统验证出现问题时，首先应当检查/var/log/messages或者/var/log/secure中的输出信息，根据这些信息判断用户账号的有效性。5.2修改帐户TMOU值，设置自动注销时间检查方法：#cat /etc/profile查看有无TMOU的设置备份方法：#cp -p /etc/profile /etc/profile_bak加固方法：#vi /etc/profile增加TMOUT=6O无操作600秒后自动退出风险：无可见风险5.3 Grub/Lilo密码检查方法：备份方

20、法：#cp -p /etc/lilo.conf#cat /etc/grub.conf|greppassword查看grub是否设置密码#cat /etc/lilo.conf|greppassword查看lilo是否设置密码#cp -p /etc/grub.conf/etc/grub.conf_bak/etc/lilo.conf_bak加固方法：为grub或lilo设置密码风险：etc/grub.conf通常会链接到/boot/grub/grub.conf5.4限制FTP登录检查方法：#cat /etc/ftpusers确认是否包含用户名，这些用户名不允许登录FTP服务备份方法：#cp -p /

21、etc/ftpusers /etc/ftpusers_bak加固方法：#vi /etc/ftpusers添加行，每行包含一个用户名，添加的用户将被禁止登录风险：无可见风险5.5设置Bash保留历史命令的条数检查方法：#cat /etc/profile|grepHISTSIZE=#cat /etc/profile|grepHISTFILESIZE=查看保留历史命令的条数备份方法：#cp -p /etc/profile /etc/profile_bak加固方法：#vi /etc/profile修改HISTSIZE=5和HISTFILESIZE=5即保留最新执行的5条命令HOSTNAIIE/biri

22、/ho5i：TTajii&图8风险：无可见风险六、审计策略6.1配置系统日志策略配置文件检查方法：#ps-aef | grep syslog确认syslog是否启用#cat /etc/syslog.conf查看syslogd的配置， 并确认日志文件是否存在 系统日志（默认） /var/log/messagescron日志（默认）/var/log/cronFTP服务安全日志（默认）/var/log/secure备份方法：#cp -p /etc/syslog.conf5earif4 Lag all kernel messages to the console,St Logging much

23、 else clutters up the screen#kern */ devf cdiisole# Log anything (except mail) of level info :r higher.# Dori/七log private ant he nt it at Lon ressagesI*. rnf o : Jitail.:none ; auiliprLV. none : cron, nene/var/log/messages# The airthpirib file has restricted access.authpriv. */var/Log/secure# Log all the inail nessages in one place.iiail */vac/Ilog：?f Log crcn stuffcraft.束/vat/log/crotL聲Everybody