Linux安全基线检查与加固-权限管理

已于 2023-10-04 14:47:25 修改
阅读量345 收藏
点赞数
分类专栏: Linux 文章标签: linux 安全 运维
于 2023-10-04 13:37:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sgirll/article/details/133546089
版权

  在Linux系统中,权限管理是确保系统安全的关键要素之一。正确的权限管理可以有效地防止未经授权的访问和恶意操作,保护系统的机密性和完整性。本文将介绍Linux安全基线的检查与加固方法,并重点关注权限管理。

权限分级

Linux系统中,权限被分为用户权限和系统权限两个层次。用户权限用来控制个别用户对资源的访问,系统权限则控制对整个系统的访问。

  1. 用户权限:每个用户在系统上都有自己的账户,每个账户都具有一定的权限。权限分为读(r)、写(w)和执行(x)三个级别。通过适当的权限设置,可以确保用户只能访问其需要的文件和目录。

  2. 系统权限:系统权限用于控制对系统的管理和配置。通常有root用户(超级用户)和普通用户两个级别。root用户具有系统上所有资源的完全控制权限,而普通用户只能执行某些特定的操作。

权限管理的基本原则

  1. 最小化权限原则:每个用户只被授予他们完成任务所需要的最低权限,避免赋予过高的权限,以防止误操作或恶意操作。

  2. 权限分离原则:对不同类型的用户和组分别赋予不同的权限,避免权限混乱和越权访问。

  3. 检查权限设置:定期检查系统中的用户、组和文件的权限设置,确保其符合安全最佳实践。

一、检查默认umask值

安全基线项名称检查用户umask值
检查操作步骤执行命令:more /etc/profile 查看该文件末尾是否设置umask值
基线符合性性判定依据/etc/profile文件末尾存在umask 027,则合规,否则为不合规。
安全加固方案参考配置操作 1、执行备份:cp -p /etc/profile /etc/profile_bak 2、执行命令:vi /etc/profile 编辑文件,在该文件末尾添加umask 027 3、执行以下命令让配置生效: source /etc/profile

查看该文件末尾是否设置umask值

安全加固配置

[root@localhost cf]# cp -p /etc/profile /etc/profile_bak

执行以下命令让配置生效:

[root@localhost cf]# source /etc/profile

[root@localhost cf]# umask
0027

二、检查重要目录和文件的权限设置

安全基线项名称检查重要目录和文件的权限设置
检查操作步骤执行命令 :ls -l /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/hosts.allow /etc/hosts.deny /etc/services /etc/ssh/sshd_config
查看文件权限
基线符合性性判定依据

/etc/passwd文件的权限<=644

/etc/shadow文件的权限<=600

/etc/group文件的权限<=644

/etc/gshadow文件的权限<=600

/etc/hosts.deny文件的权限<=644

/etc/hosts.allow文件的权限<=644

/etc/services文件的权限<=644

/etc/ssh/sshd config文件的权限<=600 以上条件同时满足则合规,否则不合规

安全加固方案参考配置操作 1、执行命令:Is -l /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/hosts.allow /etc/hosts.allow /etc/services /etc/ssh/sshd_config查看文件权限 2、对不符合要求的文件使用chmod命令修改权限,如chmod 644 /etc/passwd

查看文件权限

三、限制可以su为root的用户

安全基线项名称限制可以su为root的用户
检查操作步骤执行命令:more /etc/pam.d/su 找到auth required pam_wheel.souse_uid 查看该行是否存在且是否被注释
基线符合性性判定依据auth required pam_wheel.so use_uid 存在且未被注释即合规,否则不合规
安全加固方案参考配置操作 1、执行备份:cp - p /etc/pam.d/su /etc/pam.d/su_bak 2、执行命令:vi /etc/pam.d/su 找到 auth required pam_wheel.souse_uid 删除该行前面的 # 使其生效,如果该行不存在则在文件末尾添加该行。 3、将需要su为root的用户使用命令:usermod -G wheel username加入 wheel 组,该用户即可su为root用户。如果需要将某个用户移出wheel组,可使用命令:gpasswd -d username wheel

总结:权限管理是Linux系统安全基线的重要组成部分,通过合理的权限分级和权限管理措施,可以有效保护系统的安全性。在进行权限管理时,应遵循最小化权限原则和权限分离原则,定期检查和加强用户、组和文件的权限设置。此外,还需要审计用户和组的权限,并实行强化的系统和文件权限设置。最重要的是,管理员需要及时更新系统和应用程序,以确保及时修复已知的漏洞。

Adler学安全
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Linux系统安全基线检查脚本
04-25
Linux系统安全基线检查脚本
系统安全配置技术规范-Linux基线加固
05-28
人工评估(手工检查)是对工具评估的一种补充, 它不需要在被评估目标系统上安装任何软件,对目标系统的运行和状态没有任何影响,在不允许安装软件进行检查的重要主机上显得非常有用。安全专家对各主机系统、服务器、业务系统、数据库以及各种应用服务器在内的目标系统进行人工评估。
Linux 安全基线检查加固
最新发布
默默的博客
05-15 1396
虽然说Linux操作系统相比Windows系统更为安全一点,但是在实际使用当中,由于管理员的一些安全意识不够全面或者一时的疏忽,可能会导致Linux系统中的一些账户和服务没有进行正确的配置,这样就可能产生被黑客利用的风险,因此需要。
Linux 基线检查安全加固脚本
韩伟的博客
12-29 2183
#!/bin/bash Author:韩伟 Date: 2019-12-29 实现对用户密码策略的设定,如密码最长有效期等 date=date +%Y-%m-%d read -p “是否设置密码策略[y/n]:” Y if [ "Y"=="y"];thenread−p"设置密码最多可多少天不修改:"Aread−p"设置密码修改之间最小的天数:"Bread−p"设置密码最短的长度:"Cread−p"...
Linux基线加固
hl1293348082的专栏
04-09 894
主机安全的风险级别除了漏洞,另一个重要的参考值是安全基线的风险分值,本次介绍的主要是结合目前公司的业务实际情况制作的一份安全基线脚本,供大家进行参考。 适用环境 适用环境:RedHat系统Linux 注意 在配置系统基线测试之前,虚拟机一定要提前制作快照,配置测试期间尽量不要退出登录状态,以便出现差错的时候能够及时回退。 基线配置内容 /etc/pam.d/system-auth 是用户使用pam认证模块的登录策略配置文件,配置用户密码的复杂度、登录失败暂锁、重复使用密码次数等都是配置此文
linux 安全基线加固
whatday的专栏
03-12 4071
现在大多数企业都是使用linux作为服务器,不仅是linux是开源系统,更是因为linux比windows更安全。但是由于管理员的安全意识不全或者疏忽,导致linux的敏感端口和服务没有正确的配置,可能会被恶意利用,所以需要进行基线加固。 1.基线安全基线配置,诸如操作系统、中间件和数据库的一个整体配置,这个版本中各项配置都符合安全方面的标准。 比如在系统安装后需要按安全基线标准...
Linux主机安全基线加固
Kason_iWiki
09-15 1835
文章目录1.确保配置了bootloader配置的权限2.确保核心转储受到限制3.确保启用了地址空间布局随机化(ASLR)4.确保已配置SSH空闲超时间隔5.确保SSH MaxAuthTries设置为4或更低6.确保已禁用SSH空密码登录7.确保配置了密码尝试失败的锁定8.确保默认用户umask限制为027或更高9.确保默认用户shell超时为900秒或更短10.Nginx server_tokens基线11.Nginx未禁用隐藏文件12.OpenSSL版本1.0.2k ,存在漏洞 1.确保配置了bootlo
linux shell脚本 基线加固
weixin_45427650的博客
03-04 687
待完善!。。。 echo --------备份----------------------- cp /etc/login.defs /etc/login.defs.bak cp /etc/security/limits.conf /etc/security/limits.conf.bak cp /etc/pam.d/su /etc/pam.d/su.bak cp /etc/profile /et...
WEB应用基线检查安全加固.pptx
03-15
### WEB应用基线检查安全加固 #### 一、概述 随着互联网技术的快速发展,WEB应用已成为企业对外提供服务的主要方式之一。然而,WEB应用的安全问题也随之凸显出来,成为企业和组织不可忽视的重要方面。为了保障...
Rocky Linux 系统安全加固工具
10-08
Rocky Linux 系统安全加固工具。限制密码使用期限为 30 天,密码过期 30 天后,该账户将被禁用,设置两次修改密码的时间间隔为 1 天,在密码过期前 7 天将发出警告,将系统默认加密算法设置为 SHA512,将会话超时...
CentOS7或RHEL7的安全基线检查脚本
01-11
总之,遵循CIS安全基线并使用检查脚本对CentOS7和RHEL7系统进行安全评估和加固,是确保系统安全的重要手段。通过自动化工具进行持续监控和维护,可以显著增强系统的防御能力,防止潜在的安全威胁。
等级保护2.0 Linux加固 Redhat 加固 基线
10-21
Linux安全加固基线。从扫描器中导出的配置结果,提供了检查项目、配置命令等。能够为Linux提供较好的加固方案。
Linux系统基线加固脚本
04-25
Linux系统基线加固脚本
linux安全加固基线操作手册
11-13
Centos6.8 作为服务器操作系统安全加固参考文档,涉及较多、较全
Linux基线修复
02-18
Linux系统centos 7 Linux基线修复shell 脚本,请放心下载
Linux自动加固脚本
12-19
详细介绍Linux脚本加固方法,加固密码策略,账户策略等。
Security-Baseline-master.zip
08-04
在"Security-Baseline-master"这个项目中,我们可以预见到一系列与安全相关的配置文件、脚本和指南。这些内容可能包括: 1. **配置文件**:这些文件包含了针对特定操作系统或服务的安全配置参数,如Linux系统的...
Linux系统安全配置指南(基线).pdf
09-13
本文旨在提供一份 Linux 系统安全配置指南,旨在帮助系统管理员和安全专家对 Linux 系统进行安全配置和加固,以保护系统免受各种攻击和威胁。 权限与审计功能配置 在 Linux 系统中,权限管理是非常重要的一环。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Adler学安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值