前 言 Linux系统被应用于大部分企业的服务器上,因此在等保测评中主机加固也是必须要完成的一项环节。 由于在之后项目开始要进行主机加固,因此对linux的加固流程进行总结学习。 Linux的主机加固主要分为:账号安全、认证授权、协议安全、审计安全。简而言之,就是4A(统一安全管理平台解决方案)。 这边就使用我自己kali的虚拟机进行试验学习。 一、账户安全
gedit /etc/login.defs
/etc/pam.d/system-auth 在文件中找到 password requisite pam_cracklib.so 将其修改为: password requisite pam_cracklib.so try_first_pass retry=3 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=8 备注:至少包含一个数字、一个小写字母、一个大写字母、一个特殊字符、且密码长度>=8 cat /proc/version /etc/hosts.deny 添加内容: sshd : 192.168.1.1 #禁止192.168.1.1对服务器进行ssh的登陆 awk -F “:” '($3==0) {print $1} ' /etc/passwd cp -p /etc/profile /etc/profile_bak(备份) gedit /etc/profile 增加 TMOUT=300 export TMOUT 或者 echo 'export TMOUT=300'>>/etc/profile echo 'readonly TMOUT' >>/etc/profile source /etc/profile gedit /etc/pam.d/su 新增 auth sufficient pam_rootok.so auth required pam_wheel.so use_uid 备注:auth与sufficient之间由两个tab建隔开,sufficient与动态库路径之间使用一个tab建隔开 cat /etc/passwd #查看口令文件,确认不必要的账号。 passwd -l user # 锁定不必要的账号 gedit /etc/pam.d/system-auth 在文件中修改或者添加 auth required pam_tally.so onerr=fail deny=3 unlock_time=7200 锁定账户举例: passwd -l bin passwd -l sys passwd -l adm john /etc/shadow --single john /etc/shadow --wordlist=pass.dic 我这边有报错 就不展示了 使用passwd 用户 命令为用户设置复杂的密码 二、协议安全 yum update openssh 定时任务检查: crontab -l 一次性任务检查: at -l 首先cat /etc/ssh/sshd_config 查看PermitRootLogin是否为no gedit /etc/ssh/sshd_config PermitRootLogin no不允许root登陆 Protocol 2 修改ssh使用的协议版本 MaxAuthTries 3 修改允许密码错误次数 或echo 'tty1' > /etc/securetty hmod 700 /root gedit /etc/pam.d/su 在头部添加 auth required /lib/security/pam_wheel.so group=wheel 因为我的kali下没有这个文件,因此借鉴一下网上的 cat /etc/pam.d/vsftpd Auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed #其中file=/etc/vsftpd/ftpusers即为当前系统上的ftpusers文件. echo “root” >> /etc/vsftpd/ftpusers gedit /etc/sysctl.conf 增加net.ipv4.tcp_syncookies = 1 然后sysctl -p echo 0 > /proc/sys/net/ipv4/icmp_echo_igore_all ps aux|sort -rn -k +3|head #检查cpu占用前10 ps aux|sort -rn -k +4|head #检查内存占用前10 比如邮箱 service postfix status chkconfig --del postfix chkconfig postfix off 比如cpus service cups status chkconfig --del cups chkconfig cups off 或者用防火墙策略: service iptables status echo '请根据用户实际业务端口占用等情况进行设置!' 例如: gedit /etc/sysconfig/iptables 添加如下策略 -A INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT -A INPUT -m state --state NEW -m udp -p udp --dport 8080 -j ACCEPT 以下举例: iptables -I INPUT -s 22.48.11.11 -j DROP # 22.48.11.11的包全部屏蔽 iptables -I INPUT -s 22.48.11.0/24 -j DROP #22.48.11.1到22.48.11.255的访问全部屏蔽 iptables -I INPUT -s 192.168.1.1 -p tcp --dport 80 -j DROP # 192.168.1.1的80端口的访问全部屏蔽 iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 80 -j DROP #192.168.1.1到192.168.1.255的80端口的访问全部屏蔽 service iptabels restart #重启防火墙 cp /etc/profile /etc/profile_xu_bak(备份) sed -i s/'HISTSIZE=1000'/'HISTSIZE=5000'/g /etc/profile(修改) cat /etc/profile |grep HISTSIZE|grep -v export(检查) 三、认证权限 chmod 644 /etc/passwd chmod 400 /etc/shadow chmod 644 /etc/group cp /etc/profile /etc/profile.bak(备份) gedit /etc/profile 增加 umask 027 source /etc/profile 四、日志审计 gedit /etc/rsyslog.conf *.* @Syslog日志服务器IP ###注意:*和@之间存在的是tab键,非空格。 gedit /etc/syslog.conf 或者 /etc/rsyslog.conf 在文件中加入如下内容: *.err;kern.debug;daemon.notice /var/log/messages chmod 640 /var/log/messages service rsyslog restart cp/etc/logrotate.conf /etc/logrotate.conf_xu_bak(备份) sed -i s/'rotate 4'/'rotate 12'/g /etc/logrotate.conf(修改) service syslog restart(重启) cat /etc/logrotate.conf |grep -v '#' |grep rotate(检查) end
|
|