Linux系统主机安全加固
1查看主机名称:
hostname
2 查看操作系统及版本:
cat /etc/issue
lsb_release -a
3 查看密码是否符合复杂性要求,如果不符合,建议进行修改
/etc/pam.d/system-auth
在最后
pam_cracklib.so ucredit=-1 lcredit=-1 dcredit= -5 ocredit=-1
至少一个大写字母一个小写字母,五个数字,一个符号
4 检查普通用户是否对passwd shadow 文件拥有读写权限,建议修改这两个文件的权限为600
ls -ld /etc/passwd
ls -ld /etc/passwd
ls -ld /etc/passwd
-rw-r--r-- 1 600 root 1892 Aug 4 03:51 /etc/passwd
5 检查passwd文件是否存在拥有登录系统权限的陌生用户
6 检查系统中是否有未知的服务运行
ps auxw
netstat -anudpt
chkconfig --list
7 禁止主机ping(美信监控主机除外)
iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP
iptables -A INPUT -p icmp -s + IP -j ACCEPT
8 检查/etc/profile文件中是否定义登陆超时时间
9 检查/etc/inittab文件,是否禁止Ctrl+Alt+Delete组合键,是否对用户登陆控制台进行了限制
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now
10 检查系统/etc/issue /etc/issue.net 文件内容是否为空
rm -f /etc/issue
rm -f /etc/issue.net
touch /etc/issue
touch /etc/issue.net
11 检查系统类型和版本,升级重要系统补丁
12 配置hosts.conf 文件,防止IP地址欺骗
order bind,hosts
multi on
nospoof on
13 设置umask值为027
umask 027
14 关闭telnet服务
chkconfig --list | grep telnet
service xinetd stop
15 设置SSH配置文件,禁止root远程登陆,同时启用SSLv2版本安全协议(默认就开启)
16 查看IP源路径路由是否被禁止,强烈建议禁止IP源路径路由,
for f in /proc/sys/net/ipv4/conf/*/accept_source_route; do
echo 0 > $f
done
将accept_source_route 设置为0,并将上述命令加到/etc/rc.d/rc.local 中去,每次重启动将自动执行。
17 查看/etc/rc.local 脚本的内容是否有未知启动脚本
18 设置passwd shadow 文件不可修改的属性
chattr +i /etc/passwd
19 查看/etc/login.defs 文件是否定义了密码最小位数和最大使用天数
:
jPASS_MAX_DAYS 99999 用户的密码不过期最多的天数;
PASS_MIN_DAYS 0 密码修改之间最小的天数;
PASS_MIN_LEN 5 密码最小长度;
PASS_WARN_AGE 7
20 检查系统中是否运行了未知的服务端口,如果存在,进行关闭
21 检查是否存在违法的可以提升权限的用户
linux禁止其他主机ping自己在没有防火墙的情况下,最好禁止外网服务器对ping命令的回应,以增加安全。
如果要想使ping 没反应也就是用来忽略icmp包。可以用:
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
若想恢复就用:
echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all