vi /etc/login.defs ///密碼更改
pass_max_days 99999
最大更改密碼時間
pass_min_days 0
最小更改密碼時間
pass_min_len 5
最小密碼長度
pass_warn_age 7
密碼過期前告警
vi /etc/pam.d/system-auth ///密碼複雜度
加在password requisite pam_cracklib.so後
ocredit=-1
必須有特殊字元
ucredit=-1
必須有大寫字母
lcredit=-1
必須有小寫字母
dcredit=-1
必須有數字
應該不存在除root外uid為0的使用者
/etc/passwd第三列不應該為0
awk -f:'length($2)==0 ' /etc/shadow ///不存在空口令賬號
是否空值
刪除賬號或設強密碼
使用者目錄預設訪問設定
/etc/login.defs中umask值027
/etc/csh.cshc中umask值077
/etc/bashrc(或/etc/bash.bashrc)中umask值077
/etc/csh.login中umask值077
/etc/profile中umask077
檔案路徑
檔案許可權
/etc/rc.d/init.d
750/tmp
750/etc/rc6.d
750/etc/rc5d
750/etc/rc4.d
750/etc/rc3.d
750/etc/rc2.d
750/etc/rc1.d
750/etc/rc0.d
750/etc/
750/etc/passwd
644/etc/group
644/etc/services
644/etc/xinetd.conf
600(telnet===xinetd)
/etc/security
600系統引導器配置檔案 /etc/grub.conf /boot/grub/grub.conf /etc/lilo.conf
600/etc/shadow
400不得隨意更改檔案或目錄
/etc/gshadow /etc/shadow /etc/group
chattr -i 去掉保護 chattr +i 不可修改
ssh登入前警告banner
vi /etc/ssh/sshd_banner
可以改埠號 port xx
檢視/etc/ssh/sshd_config banner處設定
執行如下命令建立ssh banner資訊檔案:
touch /etc/ssh_banner
chown bin:bin /etc/ssh_banner
chmod 644 /etc/ssh_banner
echo
" authorized only. all activity will be monitored and reported "
> /etc/ssh_banner
///可根據實際需要修改該檔案的內容。
修改/etc/ssh/sshd_config檔案,新增如下行:
banner /etc/ssh_banner
重啟sshd服務:
/etc/init.d/sshd restart
///重啟syslog服務
systemctl restart rsyslog.service
日誌型別
檢查方法
判定條件
加固登入日誌
last
是否存在/var/log/wtmp;/var/log/utmp
cron
檢視syslog配置
cron.*配置
遠端日誌
檢視syslog
是否指向遠端ip
su命令使用情況記錄
檢視syslog
authpriv.* /var/log/secure
配置安全
檢視syslog
*.err;kern.debug;daemon.notice /var/adm/messages
檢查檔案是否other使用者不可寫
/var/log/mail
/var/log/boot.log
/var/log/localmessages
/var/log/secure
/var/log/messages
/var/log/cron
/var/log/spooler
/var/log/maillog
///檢視日誌路徑
vi /etc/rsyslog.conf
使用ip協議遠端登入應使用ssh協議
systemclt status sshd
檢視是否開啟ssh協議
應禁止telnet協議
systemclt status telnet
檢視telnet是否關閉
在/etc/services中注釋掉telnet 23/tcp
vi /etc/xinetd.d
disable --預設yes 要登入改為no
禁止root使用者telnet登入
/etc/pam.d/login
存在auth required pam_securetty.so
存在auth required pam_securetty.so,則root使用者無法telnet登入
禁止root使用者ssh登入
/etc/ssh/sshd_config
配置permitrootlogin no
重啟ssh服務:systemctl restart sshd
禁止匿名vsftp使用者登入
/etc/vsftpd.conf(或/etc/vsftpd/vsftpd.conf)
anonymous_enable=no
存在anonymous_enable=no,則無法匿名vsftp使用者登入
禁止匿名wu-ftp使用者登入
/etc/passwd
ftp使用者存在
在/etc/passwd檔案中,刪除ftp使用者
Linux安全配置
linux安全配置,公鑰 私鑰方式 2010 02 09 18 04 大概有如下幾個方面 1.禁止root帳號ssh,使用自定義帳號ssh 這樣一來,黑客要先猜到帳號,然後才能猜解密碼 2.禁止帳號登入,使用pubkey登入 3.作ip acl,只允許幾個特定的ip訪問 4.ssh埠遷移,將預設22...
linux安全檢查配置
1.ga等客戶要求關閉匿名ftp服務 使用anonymous使用者,手工登入伺服器報錯 530 permission denied。即可。vsftpd.ftpusers 位於 etc vsftpd目錄下。它指定了哪些使用者賬戶不能訪問ftp伺服器,例如anonymous等。確保anonymous v...
Linux優化及安全配置
本文提及的系統,如沒有特別宣告,均採用redhat公司的redhat linux系統。關於優化 說起優化,其實最好的優化就是提公升硬體的配置,例如提高cpu的運算能力,提高記憶體的容量,個人認為如果你考慮公升級硬體的話,建議優先提高記憶體的容量,因為一般伺服器應用,對記憶體的消耗使用要求是最高的。當...