身份鉴别加固
用户管理
删除多余、无用账号
cat /etc/passwd
cat /etc/shadow
userdel xxx
密码策略
检查空口令
awk -F:'($2==""){print $1}' /etc/shadow
passwd xxx(用户名)
口令有效期:
vim /etc/login.defs 配置文件
PASS_MAX_DAYS:密码最长有效期PASS_MIN_DAYS:密码最短有效期
PASS_MIN_LEN:密码最小长度
PASS_WARN_AGE:在口令失效前多少天开始通知用户更改密码
口令强度:
vim /etc/pam.d/system-auth 格式: password requisite pam_ _cracklib.so retry= 3 difok= 2 minlen=8 lcredit=-1 dcredit=-1
含义: retry:重试多少次后返回密码修改错误 difok:本次密码与上次密码至少不同字符数 minlen:密码最小长度,此配置优先于login.defs中的PASS_MIN_LEN ucredit:最少大写字母 Icredit:最少小写字母 ocredit:最少的字符数量 dcredit:最少数字 -1:表示不限制
echo “123456” | cracklib-check 检查密码的强度
登录失败:
vim /etc/ pam.d/sshd 格式: . auth required pam_ tally2.so deny= 3 unlock_ time=300 even_ deny_ root root_ unlock_ _time= 1800
含义: even_ deny_ root:也限制root用户; deny:最大次数, 则锁定该用户 unlock_ time:设定普通用户锁定后,多少时间后解锁,单位是秒 root unlock_ time:设定root用户锁定后, 多少时间后解锁,单位是秒
解锁: pam_ tally2 --user=root --reset 被锁的用户名替换root
访问控制加固
IP是否允许访问
允许访问的IP(白名单)
允许访问的IP vim /etc/hosts.allow
sshd:192.168.142.*:allow #表示192.168.142.* ip段都能ssh访问 sshd:all:allow #表示允许所有ip的ssh访问 sshd:192.168.142.74:allow #表示允许192.1 68.142.74ssh访问
配置完成后,重启ssh服务 service sshd restart
拒绝访问的IP(黑名单)
拒绝访问的IP vim /etc/hosts.deny
sshd:all:deny #表示拒绝所有ip访问 sshd:47.106.218.*:deny #表示拒绝47.106.218.* ip段所有ssh访问 sshd:192.168.142.74 #表示拒绝192.168.142.74主机ssh访问
配置完成后,重启ssh服务 service sshd restart
防范端口扫描
关闭不必要的端口服务
systemctl list-unit-files | grep enable systemctl stop xxx systemctl disable xxx
修改默认端口号
例如: vim /etc/ssh/sshd _config
防火墙策略
vim /etc/sysconfig/iptables (需要安装) -A INPUT-p tcp --tcp-flags ALL FIN,URG,PSH -j REJECT -A INPUT-p tcp --tcp-flags SYN,RST SYN,RST j REJECT -A INPUT-p tcp --tcp-flags SYN,FIN SYN,FIN -j REJECT
root权限控制
禁止root用户远程登录
vim /etc/ssh/sshd_ config PermitRootLogin no
禁止其他用户su
vim /etc/pam.d/su #只允许wheel组用户 auth sufficient pam rootok.so auth required pam_ wheel.so group=wheel
禁止其他用户sudo提权
visudo
禁止SUID提权
ll /usr/bin/passwd find / -user root -perm -4000 -print 2> /dev/null chmod ugo-s XXX
安全审计加固
auditd审计
记录文件变化 /var/log/audit/audit.log ausearch -h
参考资料
漏洞补丁加固
更新软件
yum check-update #列出可更新的软件清单 yum info updates #列出可更新的软件包详细信息 yum upgrade <package_ name> #升级指定软件 yum updateinfo list updates security #列出可用的安全补丁 yum update #升级系统版本和所有软件 yum --enablerepo= elrepo-kernel install kernel-lt -y #更新到最新内核(需要设置引导)
参考资料
安全产品
-
自动、智能化
-
安全厂商产品概览
-
常见安全产品
主机杀毒、漏洞扫描、防火墙、监控、告警、WAF 堡垒机(运维审计系统)、IPS 入侵防御系统、IDS 入侵检测系统 态势感知、终端安全管理系统EDR、安全管理平台(SCO) 抗DDos、VPN、蜜罐.....
-
2022中国网络安全产业全景图(第四版) CCSIP 2022中国网络安全产业全景图(第四版)正式发布 | FreeBuf咨询 - FreeBuf网络安全行业门户