Linux安全基线检查与加固-账号管理

  在Linux服务器的安全维护中,账号管理是一个重要的环节。恰当的账号管理能够最大限度地减少系统被入侵的风险。本文将介绍如何使用账号管理来进行Linux安全基线的检查与加固。

账号管理的基本原则

  1. 最小权限原则:为每个用户提供最小必需的权限。仅授予他们访问所需资源的权限,避免赋予不必要的特权。

  2. 定期审查账号:定期审查系统上的账号,查看是否有已离职或不再需要的账号。并及时删除或禁用这些账号。

  3. 启用强密码策略:对于每个用户,要求他们使用强密码,并定期更换密码。

一、口令锁定策略

安全基线项名称口令锁定策略
检查操作步骤查看配置文件:more /etc/pam.d/password-auth查看是否存在如下内容:auth required pam tally2.so deny=5 onerr=fail unlock_time=300 even_deny_root=5 root unlocktime=600
基线符合性性判定依据用户连续认证失败次数设置为5即合规,否则不合规。
安全加固方案

参考配置操作

1、执行备份#/etc/pam.d/password-auth bak

2、修改策略设置,编辑文件vi /etc/pam.d/password-auth增加如下内容::auth required pam tally2.so deny=5 onerr=fail unlock_time=300 如果要对root用户生效,请在添加的内容后继续添加even_deny_root=5 root unlocktime=600注:unlock time和root unlock time单位为秒

备注PAM通过提供一些动态链接库和一套统一的API,将系统提供的服务和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系统中添加新的认证手段。查询被锁定的账号:pam tally2 -u手动解锁某个被锁定的账号:pam_tally2 -u 要解锁的用户-r

检查 /etc/pam.d/password-auth ,检查如下参数值是否满足要求

6a33977fd31a47fc94af1e934897a66b.png

注意:安全加固之前需要对原文件进行一个备份,防止操作过程出现问题导致系统崩溃,当然备份到那个地方自己决定

82bff2bb0f4e4711a20fb0aa156d250a.png

修改策略设置进行安全加固

989935f23d68447b8340cc18929db3ad.png

二、口令生存期

安全基线项名称口令生存期
检查操作步骤查看文件:more /etc/login.defs,检查如下参数值是否满足要求: PASS_MAX_DAYS 用户的密码最长使用天数不大于90 PASS_WARN_AGE #用户的密码到期提前提醒天数为7
基线符合性性判定依据PASS_MAX_DAYS不天于90,PASS_WARN_AGE等于7即合规,否则不合规
安全加固方案参考配置操作 1、执行备份: #cp -p /etc/login.defs /etc/login.defs_bak 2、修改策略设置,编辑文件/etc/login.defs,在文件中加入如下内容(如果存在则修改,不存在则添加): PASS_MAX_DAYS 90 PASS_WARN_AGE 7 执行命令:chage -M 90 -W 7username 修改已有用户的口令生存期和过期告警天数

检查 /etc/login.defs,检查如下参数值是否满足要求43e9973d8f004eab93ba0b1f7b3fe691.png

执行备份

fdb76939e84a4feda73566cd80725d3a.png

修改策略设置进行安全加固

be437d83efc543caa5df2a583f1b60e0.png

可以看到不会对已经存在的用户总成影响

50c0f6aec6fa4e50af2898f88323713f.png

修改已有用户的口令生存期和过期告警天数

fa8f0d5a3d3348fbb28df02fb2314f8f.png

4fe79450feaa48f9bd11e6d38a30e221.png

三、口令复杂度

安全基线项名称口令复杂度
检查操作步骤执行命令:grep -E"^minlen|^minclass” /etc/security/pwquality.conf 查看是否有返回结果。
基线符合性性判定依据有返回结果且返回结果等于或者大于minlen =8,minclass =3 即合规,否则不合规
安全加固方案参考配置操作 1、执行备份:cp -p /etc/security/pwquality.conf etc/security/pwquality.conf_bak 2、执行命令:authconfig --passminlen=8 --passminclass=3 --update #至少包含数字、小写字母、大写字母、特殊字符中的三项,且密码长度>=8 3、执行命令 chage -d 0 username #强制指定的用户下次登录修改密码

四、检查密码重用是否受限制

安全基线项名称检查密码重用是否受限制
检查操作步骤查看文件:cat /etc/pam.d/system-auth找到 password sufficient pam_unix.so 这行,检查末尾是否有 remember参数
基线符合性性判定依据有remember参数且参数的值大于等于5即合规,否则不合规
安全加固方案参考配置操作 1、执行备份:cp -p /etc/pam.d/system-auth 2、执行命令:vi /etc/pam.d/system-auth 编辑该文件,找到passwordsufficient pam_ unix.so 这行在末尾添加 remember 参数它的值为5,原来的内容不用更改,只在末尾加 remember=5 即可,它表示禁止使用最近用过的5个密码(己使用过的密码会被保存在 /etc/security/opasswd 下)

五、检查是否存在除root之外UID为0的用户

安全基线项名称检查是否存在除root之外UID为0的用户
检查操作步骤执行命令 :awk -F: '($3 == 0) {print $1}' /etc/passwd 查看返回值
基线符合性性判定依据返回值包括“root”以外的条目,则低于安全要求
安全加固方案参考配置操作 1、执行备份:cp -p /etc/passwd cp -p /etc/shadow 执行命令:userdel -r username删除返回值中root除外的其他用户. 或者使用命令:usermod -u uid username 为他们分配新的UID

六、禁止存在空密码的帐户

安全基线项名称禁止存在空密码的帐户
检查操作步骤执行命令 :awk -F: '($3 == 0) {print $1}' /etc/passwd 查看返回值
基线符合性性判定依据执行以下命令查看系统中是否存在空口令账号 #awk -F '( $2 =="" ) {print $1}' /etc/shadow
安全加固方案参考配置操作 1、为帐户设置满足密码复杂度的密码 #passwd username

结论: 通过账号管理的检查与加固,可以提高Linux服务器的安全性并降低被攻击的风险。定期审查账号和密码策略的设置,以及禁用不再需要的账号,能够保证系统的最小权限原则。同时,账号锁定和登录限制能够有效防范暴力破解和未授权访问。定期进行账号管理的检查与加固是保障系统安全的重要一环,需要持续地关注和更新。

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Adler学安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值