一.linux安全加固--------------------------------------------------------------------------------------------------------------------
1.账号安全
修改密码策略
vim /etc/login.defs
PASS_MAX_DAYS 90 密码最长有效期
PASS_MIN_DAYS 10 密码修改之间最小的天数
PASS_MIN_LEN 8 密码长度
PASS_WARN_AGE 7 口令失效前多少天开始通知用户修改密码
1.1.设置密码强度
1.2.限制登陆次数
1.3.登录失败策略,应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施
1.4.访问控制
应及时删除多余的、过期的帐户,避免共享帐户的存在。
删除或禁用临时、过期及可疑的帐号,防止被非法利用。
2.认证授权
2.1.文件目录权限
2.2.检查是否存在除root之外UID为0的用户
2.3.检查是否使用PAM认证模块禁止wheel组之外的用户su为root
3.协议安全
3.1.SSH安全
32.telnet安全
3.3.禁止匿名ftp
3.4.禁止ping
4.审计安全
4.1.建立日志服务器
4.2.审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;
开启审核策略,若日后系统出现故障、安全事故则可以查看系统日志文件,排除故障、追查入侵者的信息等。
4.3.日志属性设置
让日志文件转储一个月,保留6个月的信息,先查看目前配置
5.入侵防御
5.1关闭与系统业务无关或不必要的服务,减小系统被黑客被攻击、渗透的风险。
比如禁用蓝牙服务等
6.系统资源控制
6.1访问控制
设定终端接入方式、网络地址范围等条件限制终端登录。
对接入服务器的IP、方式等进行限制,可以阻止非法入侵。
6.2超时锁定
应根据安全策略设置登录终端的操作超时锁定。
设置登录超时时间,释放系统资源,也提高服务器的安全性。
7.DOS攻击防御
7.1防止拒绝服务攻击,TCP SYN保护机制等设置
进入SYN包的最大请求队列.默认1024.对重负载服务器,增加该值显然有好处.可调整到2048
7.2为历史的命令增加登录的IP地址、执行命令时间等
-----------------------------------------------------------------------------------------