linux主机系统加固

通过学习linux主机系统加固，可以大致总结下面几点：

        访问控制        （禁用或删除无用账户，查看空口令账号）

        授权管理        （账号锁定，超时退出，远程管理链路加密，密码设置复杂度）

        入侵防范        （端口服务默认关闭，禁止root用户远程登录）

        日志审计        （审计用户时间，事件，定期备份，使用户登录都会产生用户，时间，IP的日

志文件）

        资源管理        （查看系统内核版本，修改文件的读写权利）

账户和口令

        禁用或删除无用账户

        减少系统无用账户，降低安全风险

用于查看有多少账户（重点）

                           cat  /etc/shadow 

操作步骤

使用命令        userdel <用户名>        删除不必要的账号

        例如：这里我删除了qq这个账号，可以看出来，我们第一次查看账号的时候在最下面有qq

账号，当我们输入这个命令的时候，再次查看账号，可以发现，qq这个账号已经被我们删除。

 使用命令        passwd -l <用户名>        锁定不必要的账号

        例如：顾名思义这个命令用来锁定我们不使用的账号

使用命令        passwd -u <用户名>        解锁我们需要的账号

        例如：解开我们需要的使用的账号

检查特殊账号

        检查是否存在空口令和root权限的账号，确认是否存在异常账号，确认UID为零的账号只有

root账号

操作步骤

awk -F: '($2=="")' /etc/shadow        查找空口令账号

        例如：这里我们输入命令，可以看见text这个账号，属于空口令账号

 awk -F: '($3==0)' /etc/passwd        查看UID为零的账号

        例如：查找UID为零账号，其实就是root权限账号加固空口令账号

 passwd <用户名>        为空口令账号设置密码

        例如：这里我们给qq设置密码，输入两次即可

 限制用户su

        限制能su到root的用户

操作步骤

vim  /etc/pam.d/su        修改配置文件，在配置在添加行

        例如：只允许text用户su到root，则添加auth   required  pam_wheel.so group=text

 更改口令复杂度

        加强口令的难度，防止别人猜出来

操作步骤

vim /etc/login.defs          修改配置文件，口令复杂度配置文件

PASS_MAX_DAYS 90         新建用户的密码最长使用天数

PASS_MIN_DAYS 0         新建用户的密码最短使用天数

PASS_MIN_LEN    10        新建用户的密码最短设置数

PASS_WARN_AGE 7         新建用户的密码到期提前提醒天数

        例如:这里我们输入修改配置文件的代码，进入，然后修改最长天数为30，最短为2，表示2天

后会提示我们修改密码，到期提醒时间为七天，就是会快到修改密码的那一天，会提前告诉我们

 禁止root账户远程登录

        限制root用户直接登录

操作步骤

vim /etc/ssh/sshd_config           编辑ssh默认文件

        例如：修改配置文件将PermitRootLogin的值改成no，并保存，然后使用service sshd

restart重启服务。然后他会一直让我们输入密码，这个时候就表示成功了

服务

        关闭不必要的服务（比如普通服务和linux服务）

操作步骤

chkconfig --list          查看启动服务

        例如：我们查看虚拟机的服务

systemctl enable 服务名          开机自启动

systemctl disable 服务名          开机不启动

        例如：我们这里设置防火墙开机启动和不启动

 systemctl list-unit-files         列出systemd服务

        例如：列出systemd服务

 ssh服务安全

        对SSH服务进行安全加固，防止暴力破解成功。

操作步骤

vim /etc/ssh/sshd_config    //编辑ssh默认文件

        例如：修改允许密码错误次数（默认6次）   MaxAuthTries 的值最大为 3 ， 重启sshd

设置文件系统umask值

        设置umask值

        设置默认的umask值，加强安全性

操作步骤

vi /etc/profile       修改配置文件

        例如：添加行 umask 027， 即新创建的文件属主拥有读写执行权限，同组用户拥有读和执行权限，其他用户无权限。

登录超时

        连接超时时间，增加安全性

操作步骤

vi /etc/profile         修改配置文件

        例如：将以 TMOUT= 开头的行注释，设置为TMOUT=180，即超时时间为三分钟

 日志

         启用日志功能，并配置日志记录

操作步骤

vim /etc/profile           记录用户的登录和日志

        例如：第一步，输入代码，查看我们的登录和日志

          第二步，可以在 /var/log/history 目录下以每个用户为名新建一个文件夹，每次用户退出后

都会产生以用户名、登录IP、时间的日志文件，包含此用户本次的所有操作（root用户除外）。同

时，建议您使用OSS服务收集存储日志  ，复制下面的代码，加入里面   

  history    

 USER=`whoami`    

 USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`

 if [ "$USER_IP" = "" ]; then    

 USER_IP=`hostname`    

 fi    

 if [ ! -d /var/log/history ]; then    

 mkdir /var/log/history    

 chmod 777 /var/log/history    

 fi    

 if [ ! -d /var/log/history/${LOGNAME} ]; then    

 mkdir /var/log/history/${LOGNAME}

 chmod 300 /var/log/history/${LOGNAME}    

 fi    

 export HISTSIZE=4096    

 DT=`date +"%Y%m%d_%H:%M:%S"`  

 export HISTFILE="/var/log/history/${LOGNAME}/${USER}@${USER_IP}_$DT"    

 chmod 600 /var/log/history/${LOGNAME}/*history* 2>/dev/null

        第三步，使用 source /etc/profile  ，使配置生效，就可以查看我们输过的代码

 时间

        查看当前时间

操作步骤

date      查看系统时间

        例如：我查看今天的时间

        操作系统未安装专门的审计进程保护软件，无法对审计进程进行保护，避免受到未预期中

断，日志保留时间小于6个

 cat /etc/rsyslog.conf        查看是否存在

        例如：输入代码，修改里面的*.* @@192.168.101.100:514，询问是否存在其他措施对审计日

志进行保护

更新系统内核和安装防病毒软件 

使用uname -sr命令查看系统内核版本

        例如： 查看我的linux系统