系统加固
设备管理
SSH登录
SSH(安全外壳协议),主要用于数据加密传输,防止数据在网络上被窃取。
- 重启ssh服务:service sshd restart
- ssh开机启动:chkconfig sshd on
配置访问控制列表
相关:文件/etc/hosts.allow
操作: sshd:ip
相关文件:/etc/hosts.deny
操作:sshd:all
用户账号和口令安全
- 用户密码 /etc/passwd
- 强制过期用户密码:passwd -l <用户名>
- /etc/login.defs
PASS_MAX_DAYS 90 # 密码最多使用90天
PASS_MIN_DAYS 1 # 密码最少使用1天
PASS_MIN_LEN 8 # 密码长度最小8位
PASS_WARN_AGE 28 # 密码到期前提醒天数
4.口令策略
相关文件: /etc/pam.d/system-auth #设置输错账号后锁定的时间
auth requried pam_tally.so onerr=fail //
deny=5 #输错五次就锁定
unlock_time=180 #锁定180s
5. FTP用户账号控制
新建 /etc/ftpusers #在其中配置阻止系统默认账号使用FTP服务(一行一个用户名)
文件赋权:chmod 644 /etc/ftpusers #文件仅为文件所有者可读写,其他用户可读
检查UID为0的用户账号
UID为0的账号具有最高权限。
awk -F: ‘($3==0){print $1}’ /etc/passwd
查看当前出了root外是否还有UID为0的超级用户。如有则锁定。
root用户与ssh登陆限制
相关文件:/etc/ssh/sshd_config
操作:
PermitRootLogin yes
日志与设计
日志配置:
/etc/rsyslog.conf
修改:authpriv.* /var/log/secure
在 /var/log/secure中查看日志
chmod 400 /etc/syslog.conf #仅管理员可读,防止黑客篡改日志配置文件修改日志配置
服务与优化
显示SysV 服务:chkconfig --list
对重要口令文件权限限制:
chown root:root /etc/passwd /etc/shadow /etc/group #修改文件所有者为root
chmod 644 /etc/passwd /etc/group #所有者读写,其他用户只读
chmod 400 /etc/shadow #仅所有者可读
修改历史命令数量:
相关文件:/etc/profile
修改:HISTSIZE=5 #只显示5条