linux安全配置

2021-09-28 23:19:48 字數 3492 閱讀 3811

vi /etc/login.defs   ///密碼更改
pass_max_days 99999

最大更改密碼時間

pass_min_days 0

最小更改密碼時間

pass_min_len 5

最小密碼長度

pass_warn_age 7

密碼過期前告警

vi /etc/pam.d/system-auth   ///密碼複雜度


加在password requisite pam_cracklib.so後
ocredit=-1

必須有特殊字元

ucredit=-1

必須有大寫字母

lcredit=-1

必須有小寫字母

dcredit=-1

必須有數字

應該不存在除root外uid為0的使用者

/etc/passwd第三列不應該為0

awk -f:'length($2)==0 ' /etc/shadow   ///不存在空口令賬號


是否空值


刪除賬號或設強密碼
使用者目錄預設訪問設定


/etc/login.defs中umask值027


/etc/csh.cshc中umask值077


/etc/bashrc(或/etc/bash.bashrc)中umask值077


/etc/csh.login中umask值077


/etc/profile中umask077
檔案路徑

檔案許可權

/etc/rc.d/init.d

750/tmp

750/etc/rc6.d

750/etc/rc5d

750/etc/rc4.d

750/etc/rc3.d

750/etc/rc2.d

750/etc/rc1.d

750/etc/rc0.d

750/etc/

750/etc/passwd

644/etc/group

644/etc/services

644/etc/xinetd.conf

600(telnet===xinetd)

/etc/security

600系統引導器配置檔案 /etc/grub.conf /boot/grub/grub.conf /etc/lilo.conf

600/etc/shadow

400不得隨意更改檔案或目錄

/etc/gshadow /etc/shadow /etc/group

chattr -i 去掉保護 chattr +i 不可修改

ssh登入前警告banner

vi /etc/ssh/sshd_banner


可以改埠號 port xx
檢視/etc/ssh/sshd_config banner處設定

執行如下命令建立ssh banner資訊檔案:

touch /etc/ssh_banner 


chown bin:bin /etc/ssh_banner 


chmod 644 /etc/ssh_banner 


echo


" authorized only. all activity will be monitored and reported "


> /etc/ssh_banner 


///可根據實際需要修改該檔案的內容。
修改/etc/ssh/sshd_config檔案,新增如下行:

banner /etc/ssh_banner
重啟sshd服務:

/etc/init.d/sshd restart
///重啟syslog服務


systemctl restart rsyslog.service
日誌型別

檢查方法

判定條件

加固登入日誌

last

是否存在/var/log/wtmp;/var/log/utmp

cron

檢視syslog配置

cron.*配置

遠端日誌

檢視syslog

是否指向遠端ip

su命令使用情況記錄

檢視syslog

authpriv.* /var/log/secure

配置安全

檢視syslog

*.err;kern.debug;daemon.notice /var/adm/messages

檢查檔案是否other使用者不可寫

/var/log/mail

/var/log/boot.log

/var/log/localmessages

/var/log/secure

/var/log/messages

/var/log/cron

/var/log/spooler

/var/log/maillog

///檢視日誌路徑


vi /etc/rsyslog.conf
使用ip協議遠端登入應使用ssh協議

systemclt status sshd

檢視是否開啟ssh協議

應禁止telnet協議

systemclt status telnet

檢視telnet是否關閉

在/etc/services中注釋掉telnet 23/tcp

vi /etc/xinetd.d 


disable   --預設yes   要登入改為no
禁止root使用者telnet登入

/etc/pam.d/login

存在auth required pam_securetty.so

存在auth required pam_securetty.so,則root使用者無法telnet登入

禁止root使用者ssh登入

/etc/ssh/sshd_config

配置permitrootlogin no

重啟ssh服務:systemctl restart sshd

禁止匿名vsftp使用者登入

/etc/vsftpd.conf(或/etc/vsftpd/vsftpd.conf)

anonymous_enable=no

存在anonymous_enable=no,則無法匿名vsftp使用者登入

禁止匿名wu-ftp使用者登入

/etc/passwd

ftp使用者存在

在/etc/passwd檔案中,刪除ftp使用者

Linux安全配置

linux安全配置,公鑰 私鑰方式 2010 02 09 18 04 大概有如下幾個方面 1.禁止root帳號ssh,使用自定義帳號ssh 這樣一來,黑客要先猜到帳號,然後才能猜解密碼 2.禁止帳號登入,使用pubkey登入 3.作ip acl,只允許幾個特定的ip訪問 4.ssh埠遷移,將預設22...

linux安全檢查配置

1.ga等客戶要求關閉匿名ftp服務 使用anonymous使用者,手工登入伺服器報錯 530 permission denied。即可。vsftpd.ftpusers 位於 etc vsftpd目錄下。它指定了哪些使用者賬戶不能訪問ftp伺服器,例如anonymous等。確保anonymous v...

Linux優化及安全配置

本文提及的系統,如沒有特別宣告,均採用redhat公司的redhat linux系統。關於優化 說起優化,其實最好的優化就是提公升硬體的配置,例如提高cpu的運算能力,提高記憶體的容量,個人認為如果你考慮公升級硬體的話,建議優先提高記憶體的容量,因為一般伺服器應用,對記憶體的消耗使用要求是最高的。當...