- 1、本文档共13页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
CentOS65系统安全加固实施方案.doc
CentOS7.0系统安全加固手册
目录
一、用户帐号和环境 2
二、系统访问认证和授权 3
三、核心调整 4
四、需要关闭的一些服务 5
五、SSH安全配置 5
六、封堵openssl的Heartbleed漏洞 6
七、开启防火墙策略 6
八、启用系统审计服务 8
九、部署完整性检查工具软件 10
十、部署系统监控环境 11
以下安全设置均是在CentOS7.0_x64环境下minimal安装进行的验证。
一、用户帐号和环境
检查项 注释: 1 清除了operator、lp、shutdown、halt、games、gopher 帐号
删除的用户组有: lp、uucp、games、dip
其它系统伪帐号均处于锁定SHELL登录的状态
2 验证是否有账号存在空口令的情况:
awk -F: ($2 == ) { print $1 } /etc/shadow
3 检查除了root以外是否还有其它账号的UID为0:
awk -F: ($3 == 0) { print $1 } /etc/passwd
任何UID为0的账号在系统上都具有超级用户权限. 4 检查root用户的$PATH中是否有’.’或者所有用户/组用户可写的目录 超级用户的$PATH设置中如果存在这些目录可能会导致超级用户误执行一个特洛伊木马 5 用户的home目录许可权限设置为700 用户home目录的许可权限限制不严可能会导致恶意用户读/修改/删除其它用户的数据或取得其它用户的系统权限 6 是否有用户的点文件是所有用户可读写的:
for dir in \
`awk -F: ($3 = 500) { print $6 } /etc/passwd`
do
for file in $dir/.[A-Za-z0-9]*
do
if [ -f $file ]; then
chmod o-w $file
fi
done
done
Unix/Linux下通常以”.”开头的文件是用户的配置文件,如果存在所有用户可读/写的配置文件可能会使恶意用户能读/写其它用户的数据或取得其它用户的系统权限 7 为用户设置合适的缺省umask值:
cd /etc
for file in profile csh.login csh.cshrc bashrc
do
if [ `grep -c umask $file` -eq 0 ];
then
echo umask 022 $file
fi
chown root:root $file
chmod 444 $file
done
为用户设置缺省的umask值有助于防止用户建立所有用户可写的文件而危及用户的数据. 8 设备系统口令策略:修改/etc/login.defs文件
将PASS_MIN_LEN最小密码长度设置为12位。 10 限制能够su为root 的用户:#vi /etc/pam.d/su
在文件头部添加下面这样的一行
auth required pam_wheel.so use_uid 这样,只有wheel组的用户可以su到root
操作样例:
#usermod -G10 test 将test用户加入到wheel组 11 修改别名文件/etc/aliases:#vi /etc/aliases
注释掉不要的 #games: root #ingres: root #system: root #toor: root #uucp: root #manager: root #dumper: root #operator: root #decode: root #root: marc
修改后执行/usr/bin/newaliases 13 修改帐户TMOUT值,设置自动注销时间
vi /etc/profile
增加TMOUT=600 无操作600秒后自动退出 14 设置Bash保留历史命令的条数
#vi /etc/profile
修改HISTSIZE=5 即只保留必威体育精装版执行的5条命令 16 防止IP SPOOF:
#vi /etc/host.conf 添加:nospoof on 不允许服务器对IP地址进行欺骗 17 使用日志服务器:
#vi /etc/rsyslog.conf 照以下样式修改
*.info;mail.none;authpriv.none;cron.none @99
这里只是作为参考,需要根据实际决定怎么配置参数
二、系统访问认证和授权
检查项 注释: 1 限制 at/cron给授权的用户:
cd /etc/
rm -f cron.deny at.deny
echo root cron.allow
echo ro
文档评论(0)