linux安全加固文档.doc

Linux 安全加固 注：红色字体暂时没有做操作 1.严格按照用户类型分配账号 2.系统无效帐户清理 检查无用账户More /etc/passwd 备份Cp -p /etc/passwd/etc/passwd_bak 锁定Passwd -1 username 检查是否存在空密码的账户 Logins -p 应无回应 备份 #cp?-p?/etc/passwd?/etc/passwd_bak? cp?-p?/etc/shadow?/etc/shadow_bak? 锁定 passwd -1 username 或加密 passwd username 3.禁止限制超级管理员远程登录 4.对系统账号进行登录限制 Vi?/etc/passwd?例如修改? lynn:x:500:500::/home/lynn:/sbin/bash?更改为：? lynn:x:500:500::/home/lynn:/sbin/nologin?该用户就无法登录了。?? 禁止所有用户登录。? touch?/etc/nologin? 除root以外的用户不能登录了。? 2、补充操作说明? 禁止交互登录的系统账号，比如daemon,bin,sys、adm、lp、uucp、nuucp、smmsp等等 5.为空口令用户设置密码 pwd username 6.删除除ROOT以外UID为0的账户 检查方法： 　　#cat /etc/passwd 查看口令文件，口令文件格式如下： 　　login_name：password：user_ID：group_ID：comment：home_dir：command 　　login_name：用户名 　　password：加密后的用户密码 　　user_ID：用户ID，(1 ~ 6000) 若用户ID=0，则该用户拥有超级用户的权限。查看此处是否有多个ID=0。 　　group_ID：用户组ID 　　comment：用户全名或其它注释信息 　　home_dir：用户根目录 　　command：用户登录后的执行命令 　　备份方法： 　　#cp -p /etc/passwd /etc/passwd_bak 　　加固方法： 　　使用命令passwd -l 用户名锁定不必要的超级账户。 　　使用命令passwd -u 用户名解锁需要恢复的超级账户。 　　风险：需要与管理员确认此超级用户的用途。 7.设置系统口令策略 #vi /etc/login.defs修改配置文件 　　PASS_MAX_DAYS 90 #新建用户的密码最长使用天数 　　PASS_MIN_DAYS 0 #新建用户的密码最短使用天数 　　PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数 PASS_MIN_LEN 8 #最小密码长度8 8.设置关键目录的权限 通过chmod命令对目录的权限进行实际设置。? 2、补充操作说明? etc/passwd?必须所有用户都可读，root用户可写?–rw-r—r—? /etc/shadow?只有root可读?–r--------?? /etc/group?必须所有用户都可读，root用户可写?–rw-r—r—? 使用如下命令设置：? chmod 644 /etc/passwd chmod 600 /etc/shadow chmod 644 /etc/group? 如果是有写权限，就需移去组及其它用户对/etc的写权限（特殊情况除外）? 执行命令#chmod?-R?go-w?/etc? 9.设置umask地址 　　检查方法： 　　#cat /etc/profile 查看umask的值 　　备份方法： 　　#cp -p /etc/profile /etc/profile_bak 　　加固方法： #vi /etc/profile 默认情况下是022 使用者是002 把022 改成027 　　umask=027 　　风险：会修改新建文件的默认权限，如果该服务器是WEB应用，则此项谨慎修改。 TMOUT=180 export TMOUT 10.设置目录权限，防止非法访问目录需要重要目录 1、参考配置操作? 查看重要文件和目录权限：ls?–l?更改权限：? 对于重要目录，建议执行如下类似操作：?#?chmod?-R?750?/etc/init.d/*? 这样只有root可以读、写和执行这个目录下的脚本。 11.设置关键文件的属性 #?chattr +a /var/log/messages? #?chattr +i /var/log/messages.*? #?chattr +i /etc/shadow? #?chattr +i /etc/pas