Linux安全基线检查与加固-权限管理

已于 2023-10-04 14:47:25 修改
阅读量581 收藏
点赞数
分类专栏: Linux 文章标签: linux 安全 运维
于 2023-10-04 13:37:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sgirll/article/details/133546089
版权

  在Linux系统中,权限管理是确保系统安全的关键要素之一。正确的权限管理可以有效地防止未经授权的访问和恶意操作,保护系统的机密性和完整性。本文将介绍Linux安全基线的检查与加固方法,并重点关注权限管理。

权限分级

Linux系统中,权限被分为用户权限和系统权限两个层次。用户权限用来控制个别用户对资源的访问,系统权限则控制对整个系统的访问。

  1. 用户权限:每个用户在系统上都有自己的账户,每个账户都具有一定的权限。权限分为读(r)、写(w)和执行(x)三个级别。通过适当的权限设置,可以确保用户只能访问其需要的文件和目录。

  2. 系统权限:系统权限用于控制对系统的管理和配置。通常有root用户(超级用户)和普通用户两个级别。root用户具有系统上所有资源的完全控制权限,而普通用户只能执行某些特定的操作。

权限管理的基本原则

  1. 最小化权限原则:每个用户只被授予他们完成任务所需要的最低权限,避免赋予过高的权限,以防止误操作或恶意操作。

  2. 权限分离原则:对不同类型的用户和组分别赋予不同的权限,避免权限混乱和越权访问。

  3. 检查权限设置:定期检查系统中的用户、组和文件的权限设置,确保其符合安全最佳实践。

一、检查默认umask值

安全基线项名称检查用户umask值
检查操作步骤执行命令:more /etc/profile 查看该文件末尾是否设置umask值
基线符合性性判定依据/etc/profile文件末尾存在umask 027,则合规,否则为不合规。
安全加固方案参考配置操作 1、执行备份:cp -p /etc/profile /etc/profile_bak 2、执行命令:vi /etc/profile 编辑文件,在该文件末尾添加umask 027 3、执行以下命令让配置生效: source /etc/profile

查看该文件末尾是否设置umask值

安全加固配置

[root@localhost cf]# cp -p /etc/profile /etc/profile_bak

执行以下命令让配置生效:

[root@localhost cf]# source /etc/profile

[root@localhost cf]# umask
0027

二、检查重要目录和文件的权限设置

安全基线项名称检查重要目录和文件的权限设置
检查操作步骤执行命令 :ls -l /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/hosts.allow /etc/hosts.deny /etc/services /etc/ssh/sshd_config
查看文件权限
基线符合性性判定依据

/etc/passwd文件的权限<=644

/etc/shadow文件的权限<=600

/etc/group文件的权限<=644

/etc/gshadow文件的权限<=600

/etc/hosts.deny文件的权限<=644

/etc/hosts.allow文件的权限<=644

/etc/services文件的权限<=644

/etc/ssh/sshd config文件的权限<=600 以上条件同时满足则合规,否则不合规

安全加固方案参考配置操作 1、执行命令:Is -l /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/hosts.allow /etc/hosts.allow /etc/services /etc/ssh/sshd_config查看文件权限 2、对不符合要求的文件使用chmod命令修改权限,如chmod 644 /etc/passwd

查看文件权限

三、限制可以su为root的用户

安全基线项名称限制可以su为root的用户
检查操作步骤执行命令:more /etc/pam.d/su 找到auth required pam_wheel.souse_uid 查看该行是否存在且是否被注释
基线符合性性判定依据auth required pam_wheel.so use_uid 存在且未被注释即合规,否则不合规
安全加固方案参考配置操作 1、执行备份:cp - p /etc/pam.d/su /etc/pam.d/su_bak 2、执行命令:vi /etc/pam.d/su 找到 auth required pam_wheel.souse_uid 删除该行前面的 # 使其生效,如果该行不存在则在文件末尾添加该行。 3、将需要su为root的用户使用命令:usermod -G wheel username加入 wheel 组,该用户即可su为root用户。如果需要将某个用户移出wheel组,可使用命令:gpasswd -d username wheel

总结:权限管理是Linux系统安全基线的重要组成部分,通过合理的权限分级和权限管理措施,可以有效保护系统的安全性。在进行权限管理时,应遵循最小化权限原则和权限分离原则,定期检查和加强用户、组和文件的权限设置。此外,还需要审计用户和组的权限,并实行强化的系统和文件权限设置。最重要的是,管理员需要及时更新系统和应用程序,以确保及时修复已知的漏洞。

Linux安全基线加固实战
悦分享
01-11 560
另外,也可以这样设置:编辑 /etc/security/pwquality.conf,把 minlen(密码最小长度)设置为9-32位,把 minclass(至少包含小写字母、大写字母、数字、特殊字符等4类字符中等3类或4类)设置为3或4。--more etc/shadow查看是否存在adm、 lp. sync、 shutdown、 halt.、mail、 uucp、operator,、games.、gopher ftp等默认的、无用的用户。查看etc/passwd的非默认账户,询问分配的权限。
生命在于学习——Linux安全加固以及基线检查
易水哲的博客
08-04 1099
Linux基线检查安全加固
Linux 基线检查安全加固脚本
韩伟的博客
12-29 2375
#!/bin/bash Author:韩伟 Date: 2019-12-29 实现对用户密码策略的设定,如密码最长有效期等 date=date +%Y-%m-%d read -p “是否设置密码策略[y/n]:” Y if [ "Y"=="y"];thenread−p"设置密码最多可多少天不修改:"Aread−p"设置密码修改之间最小的天数:"Bread−p"设置密码最短的长度:"Cread−p"...
Linux基线检查安全加固
m0_67284865的博客
06-17 4220
(连续认证5次会锁定账户,锁定300秒,root的话,5次失败,锁定600秒)用户连续认证失败次数设置为5次即合规,否则不合规。参考配置操作1.执行备份2.修改策略设置,编辑文件增加以下内容注意:unlock_time和root_unlock_time单位为秒。root下可查看因为验证登录失败的账户如果需要解锁的话,需要以root输入。
Linux基线加固
hl1293348082的专栏
04-09 969
主机安全的风险级别除了漏洞,另一个重要的参考值是安全基线的风险分值,本次介绍的主要是结合目前公司的业务实际情况制作的一份安全基线脚本,供大家进行参考。 适用环境 适用环境:RedHat系统Linux 注意 在配置系统基线测试之前,虚拟机一定要提前制作快照,配置测试期间尽量不要退出登录状态,以便出现差错的时候能够及时回退。 基线配置内容 /etc/pam.d/system-auth 是用户使用pam认证模块的登录策略配置文件,配置用户密码的复杂度、登录失败暂锁、重复使用密码次数等都是配置此文
系统安全配置技术规范-Linux基线加固
05-28
人工评估(手工检查)是对工具评估的一种补充, 它不需要在被评估目标系统上安装任何软件,对目标系统的运行和状态没有任何影响,在不允许安装软件进行检查的重要主机上显得非常有用。安全专家对各主机系统、服务器、业务系统、数据库以及各种应用服务器在内的目标系统进行人工评估。
linux 安全基线加固
whatday的专栏
03-12 4295
现在大多数企业都是使用linux作为服务器,不仅是linux是开源系统,更是因为linux比windows更安全。但是由于管理员的安全意识不全或者疏忽,导致linux的敏感端口和服务没有正确的配置,可能会被恶意利用,所以需要进行基线加固。 1.基线安全基线配置,诸如操作系统、中间件和数据库的一个整体配置,这个版本中各项配置都符合安全方面的标准。 比如在系统安装后需要按安全基线标准...
Linux安全基线加固
thinker
02-22 1543
Linux安全基线加固
WEB应用基线检查安全加固.pptx
03-15
### WEB应用基线检查安全加固 #### 一、概述 随着互联网技术的快速发展,WEB应用已成为企业对外提供服务的主要方式之一。然而,WEB应用的安全问题也随之凸显出来,成为企业和组织不可忽视的重要方面。为了保障...
Linux主机安全基线加固
Kason_iWiki
09-15 1954
文章目录1.确保配置了bootloader配置的权限2.确保核心转储受到限制3.确保启用了地址空间布局随机化(ASLR)4.确保已配置SSH空闲超时间隔5.确保SSH MaxAuthTries设置为4或更低6.确保已禁用SSH空密码登录7.确保配置了密码尝试失败的锁定8.确保默认用户umask限制为027或更高9.确保默认用户shell超时为900秒或更短10.Nginx server_tokens基线11.Nginx未禁用隐藏文件12.OpenSSL版本1.0.2k ,存在漏洞 1.确保配置了bootlo
等级保护2.0 Linux加固 Redhat 加固 基线
10-21
Linux安全加固基线。从扫描器中导出的配置结果,提供了检查项目、配置命令等。能够为Linux提供较好的加固方案。
Linux系统基线加固脚本
04-25
Linux系统基线加固脚本
linux安全加固基线操作手册
11-13
Centos6.8 作为服务器操作系统安全加固参考文档,涉及较多、较全
linux操作系统安全基线配置要求
09-11
有关linux操作系统安全配置相关的文档,详细描述了有关linux系统的配置过程和要求
linux shell脚本 基线加固
weixin_45427650的博客
03-04 777
待完善!。。。 echo --------备份----------------------- cp /etc/login.defs /etc/login.defs.bak cp /etc/security/limits.conf /etc/security/limits.conf.bak cp /etc/pam.d/su /etc/pam.d/su.bak cp /etc/profile /et...
Linux 安全基线检查加固_linux基线加固
baimao__Ch的博客
08-21 2970
umask值(用户文件创建掩码)是在Linux和其他类Unix系统中使用的一个重要概念,用于控制用户在创建新文件或目录时,默认赋予这些文件或目录的权限。umask是一个由三个八进制数字组成的值,分别对应文件或目录的用户(owner)、组(group)、其他人(others)的权限位。每个数字分别代表要从默认的最大权限中移除的权限位。在八进制表示中,数字4表示读权限(r),2表示写权限(w),1表示执行权限(x),而0表示没有任何权限。
Linux 安全基线检查加固
默默的博客
05-15 3002
虽然说Linux操作系统相比Windows系统更为安全一点,但是在实际使用当中,由于管理员的一些安全意识不够全面或者一时的疏忽,可能会导致Linux系统中的一些账户和服务没有进行正确的配置,这样就可能产生被黑客利用的风险,因此需要。
安全服务】windows/Linux安全基线检查|等保2.0安全技术测评指导
热门推荐
kkza的博客
08-13 1万+
一 身份鉴别 1 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换 (1)对登录用户进行身份标识和鉴别,即登录时需要账号密码 -- win+R,输入netplwiz,按下列指示勾选内容 (2)身份标识具有唯一性,不同用户之间账号不能一样 (3)身份鉴别信息具有复杂度并且定期更换 一般指的是密码,应该设置密码策略,规定密码形式、长度、至少更改时间等 --计算机管理-本地用户和组-用户,关闭密码永不过期 -- 控制面板->管理工...
CentOS Linux 6安全基线检查
kjw001122的博客
01-21 748
检查项目 : 设置密码失效时间 加固建议: 在 /etc/login.defs 中将 PASS_MAX_DAYS 参数设置为 60-180之间,如 PASS_MAX_DAYS 90。需同时执行命令设置root密码失效时间: chage --maxdays 90 root。     检查项目 : 确保root是唯一的UID为0的帐户 加固建议: 除root以外其他UID为0的用户(查看命令...
如何使word里英文小写变大写
最新发布
04-03
<think>好的,用户想知道如何在Word中将英文小写字母转换为大写。首先,我需要回忆一下自己知道的Word功能。常用的方法可能有使用快捷键,或者通过菜单栏的字体设置来更改大小写。对了,我记得Shift+F3这个快捷键可以在不同的大小写格式之间切换,比如全大写、全小写或者首字母大写。这个应该适用于选中的文本。 另外,用户可能需要更详细的操作步骤。比如,在菜单栏中找到“开始”选项卡,然后点击“字体”组里的“更改大小写”按钮,选择“大写”选项。这种方法对于不熟悉快捷键的用户来说更直观。还有,如果用户需要批量处理多个段落或整个文档,可能需要使用查找和替换功能,或者编写宏来自动化操作。不过根据用户提供的引用,他们可能对VBA宏比较感兴趣,因为引用[3]提到了用VBA创建宏来处理金额转换。虽然问题不是关于数字而是英文大小写,但也许可以建议使用宏来处理更复杂的转换需求。 需要注意用户是否提到了具体的Word版本,但问题中没有说明,所以需要给出通用方法,适用于大多数版本。同时,检查是否有其他方法,比如使用Word的公式功能或者插件,但常见的方法还是上述几种。还要确保步骤清晰,避免遗漏关键点,比如选中文本后再操作。另外,提醒用户注意全角半角的问题,但可能用户只是简单转换,不需要涉及这些细节。总结下来,回答应包括快捷键、菜单操作,以及可能的VBA方法,并引用提供的参考资料中的相关部分,比如引用[3]的宏示例,虽然内容不同,但可以类比说明宏的可行性。</think>在Microsoft Word中,将英文小写字母转换为大写的常用方法有以下三种,操作步骤清晰且适用于大多数Word版本: ### 方法一:快捷键转换(推荐) 1. 选中需要转换的英文文本 2. 按下组合键$Shift+F3$ 3. 连续按会循环切换三种格式: - 首字母大写(如:"example" → "Example") - 全大写(如:"example" → "EXAMPLE") - 全小写(如:"EXAMPLE" → "example") ### 方法二:菜单栏操作 1. 选中目标文本 2. 点击「开始」选项卡 →「字体」组中的「更改大小写」按钮(Aa图标) 3. 在下拉菜单中选择「大写」 ### 方法三:VBA宏批量转换(适合批量处理) 1. 按$Alt+F11$打开VBA编辑器 2. 插入新模块并粘贴以下代码: ```vba Sub ConvertToUpperCase() Selection.Range.Case = wdUpperCase End Sub ``` 3. 返回Word文档,选中文本后运行宏即可转换(可自定义快捷键绑定) 如果需要处理复杂格式或特殊需求,可以参考类似数字转换中文大写的宏实现思路[^3],通过修改VBA代码实现更智能的转换功能。对于常规使用,前两种方法已足够高效,快捷键转换效率最佳,处理500字文档仅需3秒即可完成格式转换。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Administrator_ABC

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值