Linux安全基线加固之访问控制

最新推荐文章于 2023-09-18 17:26:43 发布
最新推荐文章于 2023-09-18 17:26:43 发布
阅读量667 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34398519/article/details/105620127
版权

1.检查umask值

#检查下列文件是否包含027,如果是022则低于安全要求,建议设置为077
more /etc/profile  
more /etc/csh.login  
more /etc/csh.cshrc  
more /etc/bashrc

2.重要文件的访问权限

ls  –l  /etc/
ls  –l  /etc/rc.d/init.d/
ls  –l  /tmp
ls  –l  /etc/inetd.conf
ls  –l  /etc/passwd
ls  –l  /etc/shadow
ls  –l  /etc/group
ls  –l  /etc/security
ls  –l  /etc/services
ls  -l  /etc/rc*.d
若权限过低,则低于安全要求

chmod -R 750 /etc/rc.d/init.d/*   
对于重要目录建议修改权限

3.删除共享

vim /etc/exports编辑配置文件,删除不必要的共享

4.查找未授权的SUID/SGID文件

若存在未授权的文件,则低于安全要求
for PART in `grep -v ^# /etc/fstab | awk '($6 != "0") {print $2 }'`; do
find $PART \( -perm -04000 -o -perm -02000 \) -type f -xdev -print
done

5.检查任何人都有写权限的目录

for PART in `awk '($3 == "ext2" || $3 == "ext3") \
{ print $2 }' /etc/fstab`; do
find $PART -xdev -type d \( -perm -0002 -a ! -perm -1000 \) -print
done
若返回值非空,则低于安全要求

6.查找任何人都有写权限的文件

for PART in `grep -v ^# /etc/fstab | awk '($6 != "0") {print $2 }'`; do
find $PART -xdev -type f \( -perm -0002 -a ! -perm -1000 \) -print
done
若返回值非空,则低于安全要求

7.检查没有属主的文件

for PART in `grep -v ^# /etc/fstab | awk '($6 != "0") {print $2 }'`; do
find $PART -nouser -o -nogroup -print
done
不用理会/dev下的文件
或者直接 find / -nouser -o -nogroup -print

8.查看隐藏文件

find  / -name ".. *" -print –xdev
find  / -name "…*" -print -xdev | cat -v
同时也要注意象“.xx”和“.mail”这样的文件名

9.开放tmp目录的权限

chmod +t /tmp

10.去除不必要的SUID/SGID权限

chmod u+s filename 设置SUID位 
chmod u-s filename 去掉SUID设置 
chmod g+s filename 设置SGID位 
chmod g-s filename 去掉SGID设置

11.检查/dev下的非设备文件

find /dev -type f -exec ls -l {} \;

12.检查非/dev下的设备文件

find / -type b -print | grep -v '^/dev/'

 

super_m@n
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux安全加固
qq_41453632的博客
01-09 1099
锁定系统中多余的自建账号: 执行  cat /etc/passwd       cat /etc/shadow 使用命令passwd -l <用户名>锁定不必要的账号 使用命令passwd -u <用户名>解锁需要恢复的账号   检查shadow中空口令账号: 执行:awk -F ":" '($2=="!"){print $1}' /etc/shadow 加固方法:p...
Linux基线加固.pdf
03-15
综上所述,Linux基线加固涉及多个方面的安全配置,包括密码策略、登录控制、日志审计等。这些配置有助于提高系统的安全性,降低潜在的安全风险。企业在实施基线加固时应根据自身情况灵活调整,并密切关注系统的稳定...
/etc目录详解
jilitojeek的专栏
11-27 6148
Linux /etc目录详解   /etc目录    包含很多文件.许多网络配置文件也在/etc 中.    /etc/rc   or/etc/rc.d   or/etc/rc*.d      启动、或改变运行级时运行的scripts或scripts的目录.    /etc/passwd      用户数据库,其中的域给出了用户名、真实姓名、家
Linux笔记——用户管理
weixin_42638731的博客
01-06 2922
Linux笔记——用户管理
FreeBSD经常用到的配置文件的作用和配置方法
nmdd的专栏
06-22 1686
 FreeBSD中/etc下的文件可以说是纷繁复杂,对熟悉它的人来讲不算什么,但对于一个新手来说就。。。太乱了,下面是一些经常用到的配置文件的作用和配置方法,但愿能给你一点帮助。 1. aliases 2. crontab 3. csh.cshrc 4. csh.login 5. csh.logout 6. daily 7. defaultdomain 8. exports 9. fbtab 10
shell_脚本_linux_安全加固
3569
06-05 5727
关于Linux系统安全加固的具体实现脚本及基线检查规范,以供主机维护人员参考学习。 其中以下脚本主要实现的功能包括: *加固项包括:密码长度、session超时时间、删除不用的帐号和组、限制root用户直接telnet或rlogin、ssh *检查是否存在除root之外UID为0的用户、确保root用户的系统路径中不包含父目录,在非必要的情况下,不应包含组权限为777的目录 *检查操作
Linux 系统-安全加固
IWANnaaa的博客
09-18 641
Linux系统加固
centos主机基线加固手册.doc
07-16
【标题】:“CentOS主机基线加固手册” 【描述】:这份文档主要涉及Linux主机的安全强化,特别是针对CentOS系统的安全配置和验证方法。 【标签】:“安全”、“Linux”、“主机基线”、“安全扫描” 【正文】: ...
Linux基线加固 作者:未知.pdf
03-15
**Linux基线加固**旨在通过一系列标准化的操作,提升Linux系统的安全性,减少潜在的安全风险。本文将深入探讨Linux基线加固的关键配置与实践方法。 #### 二、安全基线的重要性 - **风险评估**:通过实施安全基线,...
linux加固基线一.pdf
最新发布
03-15
### Linux系统基线加固知识点详解 #### 一、账号管理与认证授权 在Linux系统基线加固的过程中,账号管理和认证授权是非常重要的环节。这不仅涉及到系统的安全性,还关系到资源的有效利用。 ##### 1. 与账号、用户...
SUSE LINUX主机安全加固
08-18
从提供的文件内容来看,SUSE LINUX主机安全加固涉及多个方面的操作和配置,主要涵盖账号加固、服务端口加固、文件权限加固、日志服务器配置、NTP时间服务器配置以及其他加固措施。下面将详细解释这些知识点: 1. ...
umask使用详解
modi000的博客
07-26 1万+
A 什么是umask?   当我们登录系统之后创建一个文件总是有一个默认权限的,那么这个权限是怎么来的呢?这就是umask干的事情。umask设置了用户创建文件的默认 权限,它与chmod的效果刚好相反,umask设置的是权限“补码”,而chmod设置的是文件权限码。一般在/etc/profile、$ [HOME]/.bash_profile或$[HOME]/.profile中设置umask值。   你的系统管理员必须要为你设置一个合理的 umask值,以确保你创建的文件具有所希望的缺省权限,防止其他非同
linux文件权限命令umask
qq_28238141的博客
04-24 1427
umask:设置所创建文件或目录的默认权限 umask值是个掩码,它会屏蔽掉不想授予该安全级别的权限,创建文件或目录时,需要将umask值从对象的全权限中减掉,对文件来说,全权限的值是666(所有用户都有读和写的权限);对目录来说,全权限值则是777(所有用户都有读、写和可执行权限)。 如何通过umask值计算创建文件的默认权限? 计算方法:(文件或目录的全权限) & ~(umask值) 举例:创建一个文件test.c,umask值为0033 文件的全权限为666,因此最终文件的权限为(1
Linux_权限_设置umask值
超的专栏
01-11 4151
设置umask值
linux grep用法
热门推荐
greytree的专栏
07-19 2万+
[Linux初窥]grep -- print lines matching a pattern (将符合样式的该行列出)grep -- print lines matching a pattern (将符合样式的该行列出)◎语法: grep [options] PATTERN [FILE...] grep用以在file内文中比对相对应的部分,或是当没有指定档案时, 由标准输入中去比对。 在预设的情
Linux系统安全加固最佳实践
bobo now~
11-19 624
Linux系统安全加固最佳实践
漏洞扫描--配置核查
冰恋云的专栏
10-25 6023
漏洞描述 -----解决加固linux centos系统 1.修改 /etc/pam.d/system-auth 文件 vi /etc/pam.d/system-auth 追加 password requisite pam_cracklib.so ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 minlen=6 注:ucredit:大写字母个数;lcredit:小写字母个数;dcredit:数字个数;ocredit:特殊字符个数 ...
Linux安全加固
weixin_30384031的博客
06-23 1123
优化一些Linux参数,可以提升安全。 1、umask设置在文件/etc/csh.login中设置 umask 077或UMASK 077在文件/etc/profile中设置umask 077或UMASK 077在文件/etc/csh.cshrc中设置 umask 077或UMASK 077检查文件/etc/bashrc(或/etc/bash.bashrc)中设置 umask 077或UMASK...
umask 使用
Arise P. Song-曾经的你(风)
01-19 1025
http://libai.math.ncu.edu.tw/bcc16/5/csh/no3-8-11.html Unix C shell...   3-8-1 umask 指令 umask (顯示設定值) umask nnn (設定umask,設定值為000~777的整數) umask 指令的功能是用來“限定”每一個新增的檔案或者是目錄的基本使用權限(permission)。譬如說當使用者以編輯器新
linux基线加固脚本
08-01
Linux基线加固脚本是一种自动化工具,用于提高Linux系统的安全性和保护系统免受潜在威胁。它可以通过执行一系列的安全策略和配置更改来减少系统的攻击面和脆弱性。 基线加固脚本的作用包括以下几个方面: 1. 安全策略:脚本会检查并配置系统的安全策略,如密码策略、访问控制等。它可以通过强制密码复杂度要求、禁止root用户远程登录等措施来降低系统被攻击的风险。 2. 系统配置:脚本会自动检测和修改系统配置文件,以使系统达到更安全的状态。例如,通过禁用不必要的服务、限制系统资源访问、配置审计和日志记录等措施来提高系统的可靠性。 3. 漏洞修补:脚本会检测系统中可能存在的软件漏洞,并提供程序包更新和安全补丁的自动安装。这可以帮助系统保持最新的安全补丁,阻止潜在攻击者利用已知的漏洞进入系统。 4. 安全审计:脚本会执行各种安全检查和扫描,以识别可能存在的安全风险和脆弱性。它可以检查文件和目录权限、网络配置、用户和组设置等,有助于发现和解决系统中的安全问题。 基线加固脚本的优势在于它能够自动执行复杂的安全配置和漏洞修补任务,减少了管理员的工作量和出错的可能性。它可以帮助管理员提高系统的安全性,保护系统和数据免受未经授权的访问和攻击。但是,脚本也需要经常更新和维护,以适应不断变化的安全威胁和漏洞情况。同时,管理员应该仔细选择和评估脚本的可靠性和安全性,以确保它不会影响系统的正常运行和稳定性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值