Linux操作系统安全防护指导手册（详细截图）

Linux操作系统安全防护
指导手册
目 录

1. 配置管理 3
   1.1 用户账户管理 3
   1.2 身份鉴别 4
   1.3 操作系统登录超时 6
   1.4 限制单个用户对系统资源使用限度 7
   1.5 限制终端登录 7
   1.6修改UMASK值 8
   1.7禁用系统多余服务 8
   1.8 ROOT远程登录禁用 8

2. 配置管理
   1.1 用户账户管理
   加固项目名称 禁用默认账户
   加固说明 及时删除多余的、过期的帐户，避免共享帐户的存在，因为多余的账户和默认账户容易导致恶意用户和非授权用户直接通过这些账户获取系统的访问权限。例如adm, lp、shutdown、 halt、mail、news、uucp、operator、games、gopher，还有些比较特殊账户如：oracle、mysql数据库账户和需要数据同步使用snyc账户等需注意。
   操作步骤 1. 首先 在root账户下，使用vi编辑文件etc/passwd。（vi /etc/passwd）注：
   （编辑文件需采用vi编辑器，vi文件名进入文件后，每次删除或输入前需输入i，输入完毕后按键盘左上角的Esc，然后输入：wq！按回车键，若修改中途输入错误不知如何操作时可按Esc，然后输入：q！）
   

3. 在多余账户前面用#注释该账户。
   

备注
1.2 身份鉴别
1.2.1用户口令复杂度策略
加固项目名称 用户账户复杂度策略
加固说明 口令长度不小于8位，由字母、数字和特殊字符组成，不得与账户名相同，避免口令被暴力破解。
操作步骤
1．使用vi编辑器编辑文件etc/pam.d/system.auth（vi /etc/pam.d/system.auth），配置密码复杂度，在该文件文件中添加以下参数：
password requisite pam_cracklib.so retry =3 minlen=8 ucredit=1 lcredit=1 dcredit=2 ocredit=1
注：retry：用户有几次出错的机会
minlen ：最小密码长度
ucredit：大写字母至少几个
lcredit：小写字母最小几个
dcredit：数字至少几个
ocredit：其它特殊字符至少几个

备注
1.2.2用户登录失败锁定
加固项目名称 用户登录失败锁定
加固说明 配置当用户连续认证失败次数超过5次，锁定该用户使用的账户10分钟，避免账户被恶意用户暴力破解。
操作步骤 1．使用vi编辑器编辑文件etc/pam.d/system.auth（vi /etc/pam.d/system.auth），配置密码复杂度，在该文件文件中添加以下参数：
account required pam_tally2.so deny=5 unlock_time=300

备注
1.2.3用户口令周期策略
加固项目名称 用户口令周期策略
加固说明 设置账户口令的生存期不长于90天，避免密码泄露。
操作步骤 1．使用vi编辑器，编辑文件etc/login.defs （Vi /etc/login.defs），编辑一下参数：
PASS_MAX_DAYS 180 //密码最大有效天数
PASS_MIN_DAYS 1 //密码修改之间最小天数
PASS_MIN_LEN 8 //密码最小长度
PASS_WARN_AGE 28 //密码失效前提前多少天告警
注意修改密码策略参数时。一定要在规定时间内修改密码。

备注
1.3 操作系统登录超时
加固项目名称 登录超时
加固说明 设置登录超时功能，避免在没注销其在系统的登录状态，被恶意用户利用或被非授权用户误用。
操作步骤 1． 使用vi编辑器，编辑文件etc/ profile （vi /etc/profile），在文件里面加入TMOUT=300:。

备注
1.4 限制单个用户对系统资源使用限度
加固项目名称 限制单个账户对系统资源使用限度
加固说明 根据需要限制单个用户对系统资源的最大或最小使用限度，避免某些用户占用的资源过多的系统资源，从而导致服务器因资源耗尽引起故障。
操作步骤 1． 使用vi编辑器，编辑文件/etc/security/limits.conf（vi /etc/security/limits.conf），在里面填加如下参数：
d5000 hard nproc 6000 d5000 soft nproc 6000
注：此配置表示d5000用户的最大进程数为6000

备注
1.5 限制终端登录
加固项目名称 限制终端登录
加固说明 通过设定终端接入方式、网络地址范围等条件限制终端登录，可以避免非法用户的访问。
操作步骤 1．使用vi编辑器，编辑该文件如：vi /etc/hosts.allow
配置sshd：192.168.1.0/255.255.0：allow
vi

使用vi编辑器，编辑该文件如：vi /etc/hosts.deny
配置sshd:all:deny
备注

1.6修改umask值
加固项目名称 修改umask值
加固说明 修改umask值，限制设置了用户创建文件的默认权限
操作步骤 在/etc/bashrc中修改umask 022为027，然后source /etc/bashrc

备注
1.7禁用系统多余服务
加固项目名称 禁用系统多余服务
加固说明
操作步骤 1．使用chkconfig命令：

让某个服务不自动启动：例如httpd：chkconfig --level 35 httpd off ；35指的是运行级别
让某个服务自动启动：例如httpd：chkconfig --level 35 httpd on ；
查看所有服务的启动状态：chkconfig --list

查看某个服务的启动状态：chkconfig --list |grep httpd

2 telnet 单独关闭（telnet是嵌套在xinetd服务中的）
/etc/xinetd.d/telnet文件中disable = no改为yes后重启xinetd服务
service xinetd restart
备注
1.8 root远程登录禁用
加固项目名称 root远程登录禁用
加固说明
操作步骤 1.使用vi编辑器，编辑该文件 vi /etc/ssh/sshd_config，修改如下配置
PermitRootLogin no

然后重启sshd 进程
service sshd restart
备注