Linux 系统安全常规优化

基本安全措施

1. 禁用系统中不适用的账户

Linux 系统安全常规优化

2. 确认程序或服务用户的登录shell不可用

Linux 系统安全常规优化

3. 限制用户的密码有效(最大天数)

Linux 系统安全常规优化

Linux 系统安全常规优化

(针对以后新建用户)

Linux 系统安全常规优化

(针对现有个体用户)

4. 指定用户在下次登录时必须修改密码

Linux 系统安全常规优化

5. 限制用户密码最小长度

Linux 系统安全常规优化 

Linux 系统安全常规优化

6. 限制记录命令历史的条数

Linux 系统安全常规优化

Linux 系统安全常规优化

并设置当前用户在注销后自动清空历史命令记录

Linux 系统安全常规优化

7. 设置闲置超时自动注销终端

Linux 系统安全常规优化

Linux 系统安全常规优化

使用su切换用户身份

1. 切换普通用户

Linux 系统安全常规优化

(当使用root用户切换其他用户的时候不需要输入密码)

2. 限制使用su用户

Linux 系统安全常规优化

Linux 系统安全常规优化

Linux 系统安全常规优化

使用sudo提升权限

1. 授权用户zhangsan可以以root权限执行ifconfig命令

Linux 系统安全常规优化

Linux 系统安全常规优化

2. 使用别名提升权限

Linux 系统安全常规优化

3. 授权wheel组的用户不需验证密码即可执行所有命令

Linux 系统安全常规优化

4. 为sudo启用日志功能,将记录写入/var/log/sudo文件中

Linux 系统安全常规优化

(同样在visudo中写入)

Linux 系统安全常规优化

Linux 系统安全常规优化

Linux 系统安全常规优化

5. 查看被授权的命令

Linux 系统安全常规优化

Linux 系统安全常规优化

文件系统层的安全优化

1. 合理规划系统分区

/boot   该目录中包含系统内核,grub程序等关键性的引导文件。如需适应以后对内核的升级或相关扩展性需求,分区大小建议在200MB以上。

/home  该目录是用户默认宿主目录所在的上一级文件夹,若服务器用户数量较多,通常无法预知每个用户所使用的空间大小

/var     保存日志文件,运行状态文件,用户邮箱目录等

/opt     用于安装服务器的附加应用程序及其他可选空间,方便扩展使用

2. 通过挂载选项禁止执行set位权限,二进制程序

Linux 系统安全常规优化

Linux 系统安全常规优化

Linux 系统安全常规优化

3. 锁定不希望更改的系统文件

Linux 系统安全常规优化

(i 完全锁定  a 可以追加  接触使用 – )

应用程序和服务

1. 关闭不必要的应用程序

2. 禁止普通用户执行init.d目录中的脚本

Linux 系统安全常规优化

3. 禁止普通用户执行控制台程序

Linux 系统安全常规优化

使用consolehel[er辅助工具执行

4. 取出程序文件中非必须的set-udi或者set-gid

Linux 系统安全常规优化

Linux 系统安全常规优化

系统引导和登录安全优化

Linux 系统安全常规优化

Linux 系统安全常规优化

(进入修复模式的时候需要输入)

Linux 系统安全常规优化

(使用加密字符串)

终端及登录控制

1. 禁止普通用户登录

Linux 系统安全常规优化

2.控制台开放

Linux 系统安全常规优化

Linux 系统安全常规优化

(禁用tty4)

Linux 系统安全常规优化

(快速生效)

3. 控制root 用户登录的tty终端

Linux 系统安全常规优化

Linux 系统安全常规优化

4. 更改系统登录提示

Linux 系统安全常规优化

Linux 系统安全常规优化

5. 使用pam_access认证控制用户登录地点

Linux 系统安全常规优化

- : ALL EXCEPT root : tty1                   禁止除root以外用户登录tty1

格式:

拒绝/允许(- + ) : 用户 : 来源

\



本文转自 郑伟  51CTO博客,原文链接:http://blog.51cto.com/zhengweiit/376424

上一篇:找不到 blog.csdn.net 的服务器 DNS 地址


下一篇:从YH项目看软件开发过程