Linux系統主機安全加固
1查看主機名稱:
hostname
2 查看操作系統及版本:
cat /etc/issue
lsb_release -a
3 查看密碼是否符合複雜性要求,如果不符合,建議進行修改
/etc/pam.d/system-auth
在最後
pam_cracklib.so ucredit=-1 lcredit=-1 dcredit= -5 ocredit=-1
至少一個大寫字母一個小寫字母,五個數字,一個符號
4 檢查普通用戶是否對passwd shadow 文件擁有讀寫權限,建議修改這兩個文件的權限爲600
ls -ld /etc/passwd
ls -ld /etc/passwd
ls -ld /etc/passwd
-rw-r--r-- 1 600 root 1892 Aug 4 03:51 /etc/passwd
5 檢查passwd文件是否存在擁有登錄系統權限的陌生用戶
6 檢查系統中是否有未知的服務運行
ps auxw
netstat -anudpt
chkconfig --list
7 禁止主機ping(美信監控主機除外)
iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP
iptables -A INPUT -p icmp -s + IP -j ACCEPT
8 檢查/etc/profile文件中是否定義登陸超時時間
9 檢查/etc/inittab文件,是否禁止Ctrl+Alt+Delete組合鍵,是否對用戶登陸控制檯進行了限制
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now
10 檢查系統/etc/issue /etc/issue.net 文件內容是否爲空
rm -f /etc/issue
rm -f /etc/issue.net
touch /etc/issue
touch /etc/issue.net
11 檢查系統類型和版本,升級重要系統補丁
12 配置hosts.conf 文件,防止IP地址欺騙
order bind,hosts
multi on
nospoof on
13 設置umask值爲027
umask 027
14 關閉telnet服務
chkconfig --list | grep telnet
service xinetd stop
15 設置SSH配置文件,禁止root遠程登陸,同時啓用SSLv2版本安全協議(默認就開啓)
16 查看IP源路徑路由是否被禁止,強烈建議禁止IP源路徑路由,
for f in /proc/sys/net/ipv4/conf/*/accept_source_route; do
echo 0 > $f
done
將accept_source_route 設置爲0,並將上述命令加到/etc/rc.d/rc.local 中去,每次重啓動將自動執行。
17 查看/etc/rc.local 腳本的內容是否有未知啓動腳本
18 設置passwd shadow 文件不可修改的屬性
chattr +i /etc/passwd
19 查看/etc/login.defs 文件是否定義了密碼最小位數和最大使用天數
:
jPASS_MAX_DAYS 99999 用戶的密碼不過期最多的天數;
PASS_MIN_DAYS 0 密碼修改之間最小的天數;
PASS_MIN_LEN 5 密碼最小長度;
PASS_WARN_AGE 7
20 檢查系統中是否運行了未知的服務端口,如果存在,進行關閉
21 檢查是否存在違法的可以提升權限的用戶
linux禁止其他主機ping自己在沒有防火牆的情況下,最好禁止外網服務器對ping命令的迴應,以增加安全。
如果要想使ping 沒反應也就是用來忽略icmp包。可以用:
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
若想恢復就用:
echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all