LINUX安全加固

 　　一. 賬戶安全

　　1.1 鎖定系統中多余的自建帳號

　　檢查方法:

　　執行命令

　　#cat /etc/passwd

　　#cat /etc/shadow

　　查看賬戶、口令文件，與系統管理員確認不必要的賬號。對於一些保留的系統偽帳戶如：bin, sys，adm，uucp，lp, nuucp，hpdb, www, daemon等可根據需要鎖定登陸。

　　備份方法：

　　#cp -p /etc/passwd /etc/passwd_bak

　　#cp -p /etc/shadow /etc/shadow_bak

　　加固方法:

　　使用命令passwd -l <用戶名>鎖定不必要的賬號。

　　使用命令passwd -u <用戶名>解鎖需要恢復的賬號。

　　1.2設置系統口令策略

　　檢查方法：

　　使用命令

　　#cat /etc/login.defs|grep PASS查看密碼策略設置

　　備份方法：

　　cp -p /etc/login.defs /etc/login.defs_bak

　　加固方法：

　　#vi /etc/login.defs修改配置文件

　　PASS_MAX_DAYS 90 #新建用戶的密碼最長使用天數

　　PASS_MIN_DAYS 0 #新建用戶的密碼最短使用天數

　　PASS_WARN_AGE 7 #新建用戶的密碼到期提前提醒天數

　　PASS_MIN_LEN 9 #最小密碼長度9

　　1.3禁用root之外的超級用戶

　　檢查方法：

　　#cat /etc/passwd 查看口令文件，口令文件格式如下：

　　login_name：password：user_ID：group_ID：comment：home_dir：command

　　login_name：用戶名

　　password：加密後的用戶密碼

　　user_ID：用戶ID，(1 ~ 6000) 若用戶ID=0，則該用戶擁有超級用戶的權限。查看此處是否有多個ID=0。

　　group_ID：用戶組ID

　　comment：用戶全名或其它注釋信息

　　home_dir：用戶根目錄

　　command：用戶登錄後的執行命令

　　備份方法：

　　#cp -p /etc/passwd /etc/passwd_bak

　　加固方法：

　　使用命令passwd -l <用戶名>鎖定不必要的超級賬戶。

　　使用命令passwd -u <用戶名>解鎖需要恢復的超級賬戶。

　　風險：需要與管理員確認此超級用戶的用途。

　　1.4 限制能夠su為root的用戶

　　檢查方法：

　　#cat /etc/pam.d/su,查看是否有auth required /lib/security/pam_wheel.so這樣的配置條目

　　備份方法：#cp -p /etc/pam.d /etc/pam.d_bak

　　加固方法：

　　#vi /etc/pam.d/su

　　在頭部添加：

　　auth required /lib/security/pam_wheel.so group=wheel

　　這樣，只有wheel組的用戶可以su到root

　　#usermod -G10 test 將test用戶加入到wheel組

　　當系統驗證出現問題時，首先應當檢查/var/log/messages或者/var/log/secure中的輸出信息，根據這些信息判斷用戶賬號的有效

　　性。如果是因為PAM驗證故障，而引起root也無法登錄，只能使用single user或者rescue模式進行排錯。

　　1.5 檢查shadow中空口令帳號

　　檢查方法：

　　#awk -F: '( == "") { print }' /etc/shadow

　　備份方法：cp -p /etc/shadow /etc/shadow_bak

　　加固方法：對空口令賬號進行鎖定，或要求增加密碼

　　二、最小化服務

　　2.1 停止或禁用與承載業務無關的服務

　　檢查方法：

　　#who –r或runlevel 查看當前init級別

　　#chkconfig --list 查看所有服務的狀態

　　備份方法：記錄需要關閉服務的名稱

　　加固方法：

　　#chkconfig --level <服務名> on|off|reset 設置服務在個init級別下開機是否啟動

　　三、數據訪問控制

　　3.1 設置合理的初始文件權限

　　檢查方法：

　　#cat /etc/profile 查看umask的值

　　備份方法：

　　#cp -p /etc/profile /etc/profile_bak

　　加固方法：

　　#vi /etc/profile

　　umask=027

　　風險：會修改新建文件的默認權限，如果該服務器是WEB應用，則此項謹慎修改。

　　四、網絡訪問控制

　　4.1 使用SSH進行管理

　　檢查方法：

　　#ps –aef | grep sshd 查看有無此服務

　　備份方法：

　　加固方法：

　　使用命令開啟ssh服務

　　#service sshd start

　　風險：改變管理員的使用習慣

　　4.2 設置訪問控制策略限制能夠管理本機的IP地址

　　檢查方法：

　　#cat /etc/ssh/sshd_config 查看有無AllowUsers的語句

　　備份方法：

　　#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak

　　加固方法：

　　#vi /etc/ssh/sshd_config，添加以下語句

　　AllowUsers *@10.138.*.* 此句意為：僅允許10.138.0.0/16網段所有用戶通過ssh訪問

　　保存後重啟ssh服務

　　#service sshd restart

　　風險：需要和管理員確認能夠管理的IP段

　　4.3 禁止root用戶遠程登陸

　　檢查方法：

　　#cat /etc/ssh/sshd_config 查看PermitRootLogin是否為no

　　備份方法：

　　#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak

　　加固方法：

　　#vi /etc/ssh/sshd_config

　　PermitRootLogin no

　　保存後重啟ssh服務

　　service sshd restart

　　4.4 限定信任主機

　　檢查方法：

　　#cat /etc/hosts.equiv 查看其中的主機

　　#cat /$HOME/.rhosts 查看其中的主機

　　備份方法：

　　#cp -p /etc/hosts.equiv /etc/hosts.equiv_bak

　　#cp -p /$HOME/.rhosts /$HOME/.rhosts_bak

　　加固方法：

　　#vi /etc/hosts.equiv 刪除其中不必要的主機

　　#vi /$HOME/.rhosts 刪除其中不必要的主機

　　風險：在多機互備的環境中，需要保留其他主機的IP可信任。

　　4.5 屏蔽登錄banner信息

　　檢查方法：

　　#cat /etc/ssh/sshd_config 查看文件中是否存在Banner字段，或banner字段為NONE

　　#cat /etc/motd 查看文件內容，該處內容將作為banner信息顯示給登錄用戶。

　　備份方法：

　　#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak

　　#cp -p /etc/motd /etc/motd_bak

　　加固方法：

　　#vi /etc/ssh/sshd_config

　　banner NONE

　　#vi /etc/motd

　　刪除全部內容或更新成自己想要添加的內容

　　風險：無可見風險

　　4.6 防止誤使用Ctrl+Alt+Del重啟系統

　　檢查方法：

　　#cat /etc/inittab|grep ctrlaltdel 查看輸入行是否被注釋

　　備份方法：

　　#cp -p /etc/inittab /etc/inittab_bak

　　加固方法：

　　#vi /etc/inittab

　　在行開頭添加注釋符號“#”

　　#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

　　五、用戶鑒別

　　5.1 設置帳戶鎖定登錄失敗鎖定次數、鎖定時間

　　檢查方法：

　　#cat /etc/pam.d/system-auth 查看有無auth required pam_tally.so條目的設置

　　備份方法：

　　#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak

　　加固方法：

　　#vi /etc/pam.d/system-auth

　　auth required pam_tally.so onerr=fail deny=6 unlock_time=300 設置為密碼連續錯誤6次鎖定，鎖定時間300秒

　　解鎖用戶 faillog -u <用戶名> -r

　　風險：需要PAM包的支持;對pam文件的修改應仔細檢查，一旦出現錯誤會導致無法登陸;

　　當系統驗證出現問題時，首先應當檢查/var/log/messages或者/var/log/secure中的輸出信息，根據這些信息判斷用戶賬號的有效性。

　　5.2 修改帳戶TMOUT值，設置自動注銷時間

　　檢查方法：

　　#cat /etc/profile 查看有無TMOUT的設置

　　備份方法：

　　#cp -p /etc/profile /etc/profile_bak

　　加固方法：

　　#vi /etc/profile

　　增加

　　TMOUT=600 無操作600秒後自動退出

　　風險：無可見風險

　　5.3 Grub/Lilo密碼

　　檢查方法：

　　#cat /etc/grub.conf|grep password 查看grub是否設置密碼

　　#cat /etc/lilo.conf|grep password 查看lilo是否設置密碼

　　備份方法：

　　#cp -p /etc/grub.conf /etc/grub.conf_bak

　　#cp -p /etc/lilo.conf /etc/lilo.conf_bak

　　加固方法：為grub或lilo設置密碼

　　風險：etc/grub.conf通常會鏈接到/boot/grub/grub.conf

　　5.4 限制FTP登錄

　　檢查方法：