一、
6授权认证
6.1设置网络远程登录的警告消息
/etc/issue.net
6.2禁止通过CTRL+ALT+DEL组合键重启系统
/etc/inittab 将ca::ctrlaltdel:/sbin/shutdown –r –t 4 now替换为ca::ctrlaltdel:/bin/false
6.3设置终端自动退出的时间
/etc/profile TMOUT=300,export TMOUT
可考虑设置linux历史操作记录在指定文件,同时增加操作时间记录信息及增加记录条数
6.4设置用户的默认umask值
该值用于为用户新创建的文件和目录设置缺省权限。设置该值为077,则用户创建目录的默认权限为700(-rwx------ (700) -- 只有属主有读、写、执行权限),文件默认权限为600(-rw------- (600) -- 只有属主有读写权限)。
1)分别在/etc/profie、/etc/csh_login、/etc/chs.cshrc、/etc/bash.bashrc文件中加入“umask 077”
2)将上述文件所列的属主设置为root,群组为root
7账号口令
7.1屏蔽系统账号(非用户账号)
使系统账号仅用于系统内部使用,禁止用于登录或其他操作。(将系统帐号的shell修改为/bin/false usermod –L –s /bin/false $systemaccount(指系统账号))
7.2限制使用su命令的账户
只允许root和我们自己的应用程序运行群主的用户使用该命令,限制其他用户使用;
在/etc/pam.d/su和/etc/pam.d/su-l文件中添加:
auth required pam_wheel.so use_uid group=群主名
说明:use_uid 基于当前用户的uid、group 只允许ubp群主的用户使用su命令
7.3设置密码复杂度
1)口令长度至少8个字符,至少包含大写字母、小写字母、数字和特殊字符中的任意3种;
2)口令不能和账号或者账号的倒写一样。
在/etc/pam.d/common-password文件的首部添加如下配置:
password required pam_cracklib.so minlen=8 ucredit=1 lcredit=1 dcredit=1 ocredit=1 minclass=3 retry=3
password required pam_unix.so use_authtok nullok remember=5 sha512 shadow
password required pam_pwcheck.so use_authtok enforce_for_root minlen=8 tries=5 remember=5
说明:
a、minlen=8 代表长度至少包含8个字符;
b、ucredit=1代表至少1个大写字母;
c、lcredit=1代表至少1个小写字母;
d、dcredit 至少代表1个数字;
e、ocredit代表至少1个特殊字符;
f、minclass=3代表至少包含大写、小写、数字和特殊字符中的任意3种;
g、retry=3代表每次修改最多可以尝试3次;
h、use_authtok代表将新密码写入password模块提供的记录文件中;
i、Nullok代表密码不能为空;
j、remember=5代表口令不能修改为过去5次使用过的旧口令;
k、sha512代表密码采用SHA512加密保存;
l、shadow代表继续使用shadow格式;
m、enforce_for_root 对root用户同样有效;
7.4设置密码有效期(到期前N天通知用户更改口令)
在/etc/login.defs(对root账号无效)文件中修改如下字段值:PASS_MAX_DAYS 180 密码最大有效期、PASS_MIN_DAYS 0 两次修改密码的最小间隔时间、PASS_WARN_AGE 14 密码过期前开始提示天数。(如果/etc/shadow文件里有相同的选项,则以/etc/shadow文件中的为准)。密码到期后,提示强制修改,不修改无法登录系统;
7.5设置密码的加密算法
修改/etc/default/passwd文件,将CRYPT字段和CRYPT_FILES字段的值修改为sha512
7.6登录失败超过三次锁定
1)修改/etc/pam.d/common-auth-pc文件,在尾部添加auth required pam_tally2.so onerr=fail deny=3 unlock_time=300 even_deyn_root root_unlock_time=300
2)修改/etc/pam.d/common-account-pc文件,在文件尾部添加account required pam_tally2.so
说明:
a、onerr=fail代表捕获用户登录失败的事件;
b、deny=3代表用户连续登录失败次数超过3次即被锁定
c、unlock_time=300代表普通用户自动解锁事件为300秒(即5分钟
d、even_deny_root 同样限制root用户。root_unlock_time=300 root用户的自动解锁时间为300秒;
7.7密码过期通过系统上报告警进行提示
1)通过chage命令查询或修改账号和密码的策略信息,使用“chage –l 账号”可以查询该账号的密码策略信息;
2)明天凌晨定时执行该命令检查运行账号和root账号的密码策略信息,计算到期时间,提前14天开始上报告警;
3)产生两条告警“操作系统账号密码即将过期”和“操作系统账号过期”告警,告警定位参数包括服务器IP、操作系统用户名。
4)密码修改后,告警无法实时恢复,一种是人为手工恢复,一种是在下次检测后自动恢复。
8数据库加固(延后)
1、修改缺省口令;
2、口令复杂度和检测;
3、口令定期修改;
4、默认帐号清理;
5、数据库漏洞扫描和高风险处理;(漏洞扫描工具Nessus)
6、使用非管理员权限帐号运行数据库,确保权限最小集,恶意代码执行影响范围得到控制;
7、禁用udf,如果不需要使用
8、管理员帐号只能本地登陆
9、数据库端口不在外网开放
9web安全(延后)