LINUX系统加固

1、阻止普通用户关机

[root@svr1 ~]# cd /etc/security/console.apps/  

[root@svr1 console.apps]# mkdir -m 700 locked 

[root@svr1 console.apps]# mv poweroff locked/

2、设置普通用户密码各个时间:

-m密码最短有效时间

-M最长

-W:警告waring

-I:不活跃时间inactive

-E:失效时间 expire

设置普通用户下一次登陆必须改密码

[root@localhost ~]# chage -d 0 alice 

3、清理非登录账号

删除冗余账号 ;

/sbin/nologin,禁止登录shell

4、帐号锁定操作

[root@localhost ~]# passwd -l alice 

[root@localhost ~]# passwd -S alice 

[root@localhost ~]# passwd -u alice 

[root@localhost ~]# usermod -L alice 

[root@localhost ~]# usermod -U alice 

-l:锁定、-u解锁、-S查看状态、

-L:usermod下的锁定;

U:usermod的解锁

5、配置文件/etc/login.defs

对新建的用户有效

主要控制属性

• PASS_MAX_DAYS

• PASS_MIN_DAYS

• PASS_WARN_AGE

6、设置最大历史命令条目数

# vim /etc/profile ->改HISTSIZE参数 

HISTSIZE 

7、文件系统规划及挂载

mount挂载选项

-o noexec :不可执行

-o nosuid :

SUID:如果一个可执行文件对于所有用户有x权限。而且设置了suid,那么给文件在执行期间就具有了属主的的权限

8、合理挂载文件系统

/etc/fstab中的defaults是挂载选项,

可以添加ro(只读)等限制

9、文件加锁、解锁

把/etc/hosts变成绝对只读文件

把/etc/hosts变成只能追加内容的文件

# chattr +a /etc/hosts 

# chattr +/- i/a 

# lsattr /etc/hosts 

+a:追加

+i:只读(一成不变的)

(change attribute + immutable)

(change attribute + append only)

10、tty终端控制

配置文件 /etc/sysconfig/init

ACTIVE_CONSOLES=/dev/tty[1-6]//默认允许使用1-6个tty终端 

立即禁止普通用户登录

# touch /etc/nologin 

默认是没有这个文件的,创建一个空文件之后,普通用户是无法登陆的,只允许root从指定的几个终端登录

配置文件 /etc/securetty

11、伪装终端登陆提示,防止系统版本信息泄漏

#vim /etc/issue//本地登陆提示信息  

/etc/issue.net//网络登陆提示信息,如telnet 

12、禁止Ctrl+Alt+Del重启

配置文件:/etc/init/control-alt-delete.conf

[root@svr1 ~]# vim /etc/init/control-alt-delete.conf  

# start on control-alt-delete//注释掉此行即可  

exec /sbin/shutdown -r now .. .. 

13、GRUB引导控制

引导设密的作用:

-- 限制修改启动参数

-- 限制进入系统

密码设置方法:

-- passwd --md5 加密的密码串

-- 或者,passwd 明文密码串

[root@svr1 ~]# grub-md5-crypt//生成MD5加密的密码串 

[root@svr1 ~]# vim /boot/grub/grub.conf 

default=0 

timeout=3 

password --md5 $1$tt3gH1$8nZtL70J/Gv/dAaUm/1 

title Red Hat Enterprise Linux (2.6.32-358.el6.x86_64) 

root (hd0,0) 

kernel /vmlinuz-2.6.32-358.el6.x86_64 .. .. 

initrd /initramfs-2.6.32-358.el6.x86_64.img 

15、初始化操作系统

# touch /.unconfigured #重启之后系统会要求你重新修改密码,配置ip地址

# reboot

# 重启之后/.unconfigured文件会消失

16、安全使用程序和服务

禁用非必要的系统服务

#ntsysv 

关闭像NetworkManager这样的系统服务或者用chkconfig

# chkconfig NetworkManager off 

上一篇:第四十六个知识点 在Sigma协议中,正确性,公正性和零知识性意味着什么


下一篇:Diffie-Hellman