Linux操作系統安全加固總結
1、修改umask的默認值
設置並修改umask的默認值可以限制用戶對文件或目錄的權限。一般將umask的默認值修改爲027。在/etc/profile中添加umask 027。
2、修改歷史命令保存條數
使用history命令可以查看歷史執行的命令。在/etc/profile文件中修改”HISTSIZE“的數值即可。使用source /etc/profile命令使設置生效。
3、修改密碼的使用期限
修改/etc/login.defs中的PASS_MAX_DAYS=90 、PASS_MIN_DAYS=10、PASS_WARN_AGE=7字段。其中,PASS_MAX_DAYS表示密碼的最長使用期限、PASS_MIN_DAYS表示密碼的最短使用期限、PASS_WARN_AGE表示密碼到期幾天前提醒。
4、修改日誌文件權限
使用chattr +a /var/log/messages命令更改日誌文件的屬性,使其只能追加數據,不能刪除日誌文件。
5、更改主機解析地址的順序
在/etc/host.conf文件中添加下面三行:“order hosts,bind ” 、“multi on” 、“nospoof on ”。第一個設置表示首先通過DNS解析IP地址,然後通過hosts文件解析。第二個表示檢測"/etc/hosts"文件中的主機是否擁有多個IP地址。第三個表示要注意對本機未經許可的IP欺騙。
6、設置系統超時時間
在/etc/profile文件的末尾加上export TMOUT=300,在系統等待這一段空閒時間後,就會自動退出。
7、限制root賬號遠程登陸
在/etc/ssh/sshd_config文件中,將“PermitRootLogin yes”改爲“PermitRootLogin no”。重啓sshd服務systemctl restart sshd.service,使設置生效。
8、修改ssh相關安全設置
除了以上限制root賬戶遠程登陸外,/etc/ssh/sshd_config文件中還有很多其他的安全設置。例如,修改ssh服務的默認端口:Port 2222。修改登錄失敗的最大嘗試次數:MaxAuthTries 6。修改允許同時連接的主機數量:MaxSessions 10。這兩者結合可以防止攻擊者的多線程密碼爆破攻擊。
9、設置密碼的強度
在/etc/pam.d/system-auth文件中,將“password requisite pam_pwquality.so”修改爲“password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= difok=1 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1”。表示的意思是允許輸入三次密碼;新密碼與舊密碼不同的個數是一位;密碼的最小長度是八位;密碼至少包含一個大寫字母,一個小寫字母,一個數字;“ ocredit=-1”表示密碼至少包含一個符號;“minclass=2”表示密碼至少包含兩種字符的組合。
10、禁用或刪除無用的賬號
userdel <用戶名> 刪除無用的賬號。
passwd -l <用戶名> 鎖定無用的賬號。
passwd -u <用戶名> 解鎖賬號。
11、啓用日誌、建立日誌服務器
Linux系統默認啓用的日誌有:/var/log/messages,系統日誌。/var/log/cron,cron日誌。/var/log/secure,安全日誌。
修改/etc/rsyslog.conf,添加日誌服務器。例如“*.info;mail.none;authpriv.none;cron.none @192.168.146.130” 。然後重啓服務,systemctl restart rsyslog。