常規安全配置
重要目錄和文件權限:合理配置重要目錄和文件權限,增強安全性
檢查方法:使用ls -l命令查看目錄和文件的權限設置情況
加固方法:對於重要目錄,建議執行類似操作 chmod -R 750 /etc/rc.d/init.d/* 這樣除了root可讀,寫,執行這個目錄下的腳本
umask值
操作目的:設置默認的umask值,增強安全性
檢查方法:使用umask查看umask值是否爲027
加固方法:使用命令 vim /etc/profile 添加umask 027 即新創建的文件屬主讀寫執行權限,同組用戶讀和執行權限,其他用戶無權限。使用命令umask 027應用設置
補充:默認情況下的umask值是022(可以用umask命令查看),此時你建立的文件默認權限是644(6-0,6-2,6-2),建立的目錄的默認權限是755(7-0,7-2,7-2)
bash歷史命令
操作目的:設置bash保留歷史命令的條數
檢查方法:使用 cat /etc/profile|查看HISTSIZE 和 HISTFILESIZE 查看保留歷史命令的條數
加固方法:vim /etc/profile 修改配置文件
HISTSIZE=5 即保留5條命令
登陸超時
操作目的:設置系統登陸後,連接超時時間,增強安全性
檢查方法:使用命令 cat /etc/profile | grep TMOUT 查看tmout是否被設置
加固方法:vim /etc/profile 修改配置文件,把TMOUT設置爲180 即超時時間爲3分鐘
root路徑
操作目的:檢查系統root用戶環境變量path設置中是否包含 “ . ”
檢查方法:root用戶環境變量path中不應包含當前目錄 “ . ”,以root身份執行命令:#echo $PATH /usr/local:/sbin:/bin:/usr/bin:/root/bin:.
加固方法:vim /etc/profile 修改echo $PATH後面的路徑
禁用無用賬號
操作目的:減少無用賬號,降低風險
檢查方法:使用 cat /etc/passwd 查看口令文件,確認不必要的賬號。不必要的賬號,shell應該sbin/nologin
加固方法:使用passwd -l user 鎖定不必要的賬號
賬號策略
操作目的:防止口令暴力破解,降低風險
檢查方法:使用命令 cat /etc/pam.d/system-auth 查看配置文件
加固方法:設置連續輸錯3次密碼賬號鎖定2小時,vim /etc/pam.d/system-auth 修改配置文件
auth required pam_tally.so onerr=fail deny=3 unlock_time=7200
檢查特殊賬號
操作目的:查看空口令和root權限的賬號
檢查方法:使用命令 awk -F:'($3==0)'/etc/passwd 查看uid爲0的賬號
awk -F:'($2=="")'/etc/shadow 查看空口令賬號
加固方法:使用命令 passwd user 爲空口令賬號設定密碼,uid爲0的賬號應該只有root 使用usermod -u uid user
口令週期策略
操作目的:加強口令的複雜度,降低被猜解的可能性
檢查方法:使用命令 cat /etc/login.defs | grep PASS 和 cat /etc/pam.d/system-auth 查看密碼策略
加固方法:vim /etc/login.defs 修改配置文件
PASS_MAX_DAYS 60 新建用戶的密碼最長使用天數
PASS_MIN_DAYS 0 新建用戶的密碼最短使用天數
PASS_WARN_AGE 7 新建用戶的密碼到期提前提醒天數
或 chage -m 0 -M 30 -E 2020-01-01- -W user(將user用戶的密碼長度設爲30天,最短提醒天數爲0 賬號2020年1月1號過期,過期前7天警告用戶)
口令複雜度策略
操作目的:加強口令的複雜程度,降低被猜解的可能性
檢查方法:使用命令 cat /etc/pam.d/system-auth | grep pam_cracklib.so 查看密碼複雜度策略設置
加固方法:建議在/etc/pam.d/system-auth文件中配置:password requisite pam_cracklib.so difok=3 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 至少八位。包含一位大寫字母,一位小寫字母和一位數字
限制root遠程登陸
操作目的:限制root遠程telnet登陸
檢查方法:檢查方法 cat /etc/ssh/sshd_config 查看PermitRootLogin是否爲no
加固方法:編輯文件 vim /etc/ssh/sshd_config
PermitRootLogin no不允許root登陸
Protocol 2 修改ssh使用的協議版本
MaxAuthTries 3 修改允許密碼錯誤次數
或echo "tty1" > /etc/securetty
chmod 700 /root
限制能夠su爲root的用戶
操作目的:檢查是否使用pam認證模塊禁止wheel組之外的用戶su爲root
檢查方法:cat /etc/pam.d/su,查看是否有auth required /lib/security/pam_wheel.so這樣的配置條目
加固方法:vim /etc/pam.d/su
在頭部添加 auth required /lib/security/pam_wheel.so group=wheel
檢查Grub/Lilo密碼
操作目的:查看系統引導管理器是否設置密碼
檢查方法: cat /etc/grub.conf|grep password 查看grub是否設置密碼
cat /etc/lilo.conf|grep password 查看lilo是否設置密碼
加固方法:爲grub或lilo設置密碼(風險:etc/grub.conf通常會鏈接到/boot/grub/grub.conf)
vim /etc/grub.conf 添加一行 password --md5 密碼
vim /etc/lilo.conf password=密碼
弱口令審計
操作目的:檢查系統弱口令
檢查方法:john /etc/shadow --single john /etc/shadow --wordlist=pass.dic
加固方法:使用passwd 用戶 命令爲用戶設置複雜的密碼
NFS共享
使用exportfs查看NFS輸出的共享目錄。使用vim /etc/exports編輯配置文件,刪除不必要的共享
限制crtl+alt+del命令
操作目的:防止使用crtl+alt+del重啓系統
檢查方法:cat /etc/init/control-alt-delete.conf
加固方法:vim /etc/init/control-alt-delete.conf 註釋兩行代碼
禁ping
echo 0 > /proc/sys/net/ipv4/icmp_echo_igore_all
後門檢測工具
Rootkit Hunter(http://rkhunter.sourceforge.net/)
解壓後安裝 ./installer.sh --layout default --install
rkhunter --check 檢測命令(自動檢測)