等级保护-Linux主机加固策略(适用于Red Hat、Centos)

于 2024-03-15 18:52:31 发布
阅读量329 收藏 1
点赞数 2
文章标签: linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41798029/article/details/136694097
版权
本文介绍了一种针对第三级系统要求的Linux主机安全加固脚本,包括用户管理、口令策略、SSH配置强化、防火墙设置、访问控制和审计规则,以及备份和日志管理,适用于等级保护测评中的系统强化.
摘要由CSDN通过智能技术生成

目前等级保护测评非常有必要的一项安全活动,部分被测单位由于对等级保护的信息了解不足,无法有效进行加固,以下脚本根据GB/T 22239《基本要求》和GB/T 28448《测评要求 》的第三级系统要求设计的安全加固策略,仅供参考和学习

脚本代码

#!/bin/bash
#***************************Linux.sh*****************************
#创建账户
useradd admuser
useradd auduser
useradd secuser

#修改账户口令
echo "Mgrxt@123" | passwd --stdin admuser
echo "Mgrsj@123" | passwd --stdin auduser
echo "Mgraq@123" | passwd --stdin secuser

#身份鉴别加固
#配置密码策略(可以尝试3次修改,最少8位,包括大写字母、小写字母、数字、特殊字符至少1位)和登录失败处理(登录失败5次,锁定账户10分钟)
echo "password    requisite     pam_pwquality.so difok=3 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 enforce_for_root" >> /etc/pam.d/system-auth
echo "auth        required      pam_tally2.so deny=5 unlock_time=600 even_deny_root root_unlock_time=600" >> /etc/pam.d/system-auth

#修改超时退出时间(10分钟无操作,自动退出登录)
echo "export TMOUT=600" >> /etc/profile

#修改定期修改口令(口令最短使用7天,最长使用90天,密码长度最少9位,/etc/pam.d/system-auth中的优先级更高)
sed -i 's/PASS_MAX_DAYS	99999/PASS_MAX_DAYS 90/' /etc/login.defs
sed -i 's/PASS_MIN_DAYS	0/PASS_MIN_DAYS 7/' /etc/login.defs
sed -i 's/PASS_MIN_LEN	5/PASS_MIN_LEN	9/' /etc/login.defs

#sed命令,直接替换文件中的某个参数和信息,-i修改后直接保存,s替换,g全局搜索
#格式:sed [参数] '动作/原内容/替换后内容/是否全局' 目标文件

#修改默认端口22
sed -i 's/#Port 22/Port 33022/' /etc/ssh/sshd_config
#重启ssh服务
systemctl restart sshd

#设置防火墙通信规则
firewall-cmd --zone=public --add-port=33022/tcp --permanent
firewall-cmd --reload

#访问控制加固
#禁止root账户的远程登录
sed -i 's/#PermitRootLogin yes/PermitRootLogin no/' /etc/ssh/sshd_config

#修改强访问控制
sed -i 's/SELINUX=disabled/SELINUX=enforcing/' /etc/selinux/config

#设置系统管理员的提权操作
echo "admuser   ALL=(ALL)       /usr/sbin/useradd,/usr/bin/passwd,/usr/sbin/userdel" >> /etc/sudoers
echo "admuser	ALL=/bin/cat	/etc/shadow" >> /etc/sudoers
echo "admuser	ALL=/bin/vim	/etc/pam.d/system-auth" >> /etc/sudoers
echo "admuser   ALL=/bin/vim        /etc/login.defs" >> /etc/sudoers
#设置安全管理员的提权操作
echo "secuser	ALL=(ALL)	/usr/bin/firewall-cmd,/usr/bin/systemctl" >> /etc/sudoers
echo "secuser	ALL=(ALL)	/usr/sbin/iptable" >> /etc/sudoers
echo "secuser	ALL=/bin/vim	/etc/profile" >> /etc/sudoers
echo "secuser   ALL=/bin/vim        /etc/selinux/config" >> /etc/sudoers
#设置审计管理员的提权操作
echo "auduser	ALL=/bin/cat 	/etc/rsyslog.conf" >> /etc/sudoers
echo "auduser   ALL=/bin/cat    /var/log/messages" >> /etc/sudoers
echo "auduser   ALL=/bin/cat    /var/log/audit/audit.log" >> /etc/sudoers
echo "auduser	ALL=/bin/vim	/etc/audit/rules.d/audit.rules" >> /etc/sudoers
echo "auduser   ALL=/bin/vim    /etc/logrotate.conf" >> /etc/sudoers
echo "auduser   ALL=/bin/vim    /usr/lib/systemd/system/auditd.service" >> /etc/sudoers
echo "auduser   ALL=(ALL)       /usr/bin/systemctl,/usr/sbin/auditctl" >> /etc/sudoers

#安全审计加固
#添加审计规则
echo -w /etc/shadow -p rw >> /etc/audit/rules.d/audit.rules
echo -w /etc/passwd -p rw >> /etc/audit/rules.d/audit.rules
echo -w /etc/pam.d -p rwx >> /etc/audit/rules.d/audit.rules
echo -w /etc/audit -p rw >> /etc/audit/rules.d/audit.rules
echo -w /var/log/messages -p rwx >> /etc/audit/rules.d/audit.rules
echo -w /var/log/audit -p rw >> /etc/audit/rules.d/audit.rules
echo -w /etc/login.defs -p rw >> /etc/audit/rules.d/audit.rules
echo -w /etc/profile -p rw >> /etc/audit/rules.d/audit.rules
echo -w /etc/rsyslog.conf -p rw >> /etc/audit/rules.d/audit.rules

#重启auditd服务
sed -i 's/RefuseManualStop=yes/RefuseManualStop=no/' /usr/lib/systemd/system/auditd.service
systemctl daemon-reload
systemctl restart auditd
sed -i 's/RefuseManualStop=no/RefuseManualStop=yes/' /usr/lib/systemd/system/auditd.service

#设置日志留存6个月
sed -i 's/rotate 4/rotate 24/' /etc/logrotate.conf
sed -i 's/rotate 1/rotate 6/g' /etc/logrotate.conf

#备份与恢复加固
#创建备份脚本
touch /usr/local/backup.sh
mkdir -p /usr/local/backup

#编写备份脚本
echo '#!/bin/bash' >> /usr/local/backup.sh
echo rsync -a /etc/shadow /usr/local/backup >> /usr/local/backup.sh
echo rsync -a /etc/passwd /usr/local/backup >> /usr/local/backup.sh
echo rsync -a /etc/rsyslog.conf /usr/local/backup >> /usr/local/backup.sh
echo rsync -a /etc/login.defs /usr/local/backup >> /usr/local/backup.sh
echo rsync -a /etc/profile /usr/local/backup >> /usr/local/backup.sh
echo rsync -a /etc/pam.d /usr/local/backup >> /usr/local/backup.sh
echo rsync -a /var/log/audit /usr/local/backup >> /usr/local/backup.sh
echo rsync -a /var/log/messages /usr/local/backup >> /usr/local/backup.sh

#给备份脚本赋值
chmod 700 /usr/local/backup.sh
touch /usr/local/cronfile

#创建定时任务,每天凌晨自动备份
echo "0 0 * * * /usr/local/backup.sh" >> /usr/local/cronfile
crontab /usr/local/cronfile

#剩余信息清除架构
#修改剩余信息清除的参数配置
sed -i 's/HISTSIZE=1000/HISTSIZE=0/' /etc/profile
source /etc/profile

以上均为Linux主机(Red Hat 、Centos类)的加固策略,博主注意进行了验证,策略有效

顾拾忆~
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CentOS Linux系统限制远程登录尝试密码数及锁定时间
不吃_花椒的博客
07-23 1万+
CentOS中有一个pam_tally2.so的PAM模块,来限定用户的登录失败数,如果数达到设置的阈值,则锁定用户。 1、编译PAM的配置文件 [root@node2 ~ ]# vim /etc/pam.d/login #%PAM-1.0 auth required pam_tally2.so deny=3 unlock_time=100 even_deny_root root_unlock_time=200 auth [user_unknown=ignore success
Linux系统加固(基于等保2.0)
最新发布
weixin_54438700的博客
01-13 566
文件功能/etc/login.defs文件定义了/etc/passwd和/etc/shadow配套的用户限制设置。这个文件是一定要存在的,缺失并不会影响系统的使用,但是会产生一些意想不到错误。如果/etc/shadow文件里有相同的选项,以/etc/shadow为准,/etc/shadow优先级高于/etc/login.defs。该文件修改后生效,无需重启。文件内容根据等保的要求,该文件需要修改口令有效期、口令最小长度。
RedHat Linux和Cent Linux日常运维之安全加固详细篇
荒野求生的博客
11-19 1071
Linux的使用环境也日趋成熟,各种开源产品络绎不绝,大有百花齐放的盛景,那么当Linux落地企业,回归工作时,我们还要面对这Linux运维方面的诸多问题。下面就列举一些安全加固方面的操作。 https://www.toutiao.com/a6760146762507223555/?timestamp=1574011872&app=news_article&group_id...
RedHat 密码策略加固
weixin_34202952的博客
08-02 582
配置账户口令期限 安全要求: 密码最大有效期90天,过期前10天提醒用户更改密码 通用策略: 对维护帐号和系统帐号启用口令过期策略,实施时根据业务加固策略决定业务帐号和数据库帐号是否能够配置口令期限。 风险说明: 如果口令在过期前不及时修改,可能造成业务中断。所以请确定哪些帐号需要进行例外设置。 如果存在关联密码的情况,在修改密码时没同步修改业务相关配置文件,会...
轻松搞定你的RedHat安全加固
10-24 2139
轻松搞定你的RedHat安全加固 来源:未知 作者:admin 时间:2009-12-18 11:02:02 【字号:大 中 小】 Redhat是目前企业中用的最多的一类Linux,而目前针对Redhat攻击的黑客也越来越多了。我们要如何为这类服务器做好安全加固工作呢?     一. 账户安全   1.1 锁定系统中多余的自建帐号   检查方法:   执行命令   #ca
centos7.9-ssh9.5p1-ssl1.1.1w-rpm-x86-64升级加固脚本
10-12
描述中的"centos7.9_ssh9.5p1_ssl1.1.1w_rpm_x86_64升级加固脚本"是对标题的简洁重申,强调了这个脚本适用于64位(x86_64架构)系统,并且是通过RPM(Red Hat Package Manager)包管理器来执行升级过程的。...
基于S3A3G3三级等保标准的Linux系统主机安全加固.pdf
09-06
CentOS是一个基于Red Hat Linux提供的可自由使用源代码的企业级Linux发行版本,可以提供一个安全、低维护、稳定、高预测性、高重复性的Linux环境。 操作系统管理计算机的资源,是用户与计算机硬件之间的接口,控制...
openssl-1.1.1w-1.el6.x86-64-centos6.tgz
01-10
**openssl-1.1.1w-1.el6.x86-64-centos6.tgz** 是一个针对CentOS 6和Red Hat Enterprise Linux 6(RHEL 6)x86架构操作系统的软件包,它包含了OpenSSL库的更新版本——1.1.1w。OpenSSL是一款强大的安全套接层(SSL)...
Centos7.3系统从入门到精通完整版pdf
07-13
CentOSLinux发行版之一,全称为"Community ENTerprise Operating System",它是一个基于RHEL(Red Hat Enterprise Linux)源代码再编译的社区版本,提供了与RHEL高度兼容的稳定环境。 **CentOS 7.3系统安装** ...
CentOS下RPM方式安装MySQL5.6教程
09-09
RPM(Red Hat Package Manager)是Linux发行版如CentOS中广泛使用的软件包管理工具,用于安装、升级和卸载软件。以下是详细步骤: 1. **检查已安装的MySQL及相关RPM包**: 在开始安装前,首先需要确认系统中是否...
主机加固基线策略.pdf
09-22
Windows,linux主机加固方案和路线,有需要下载即可;Windows,linux主机加固方案和路线,有需要下载即可;Windows,linux主机加固方案和路线,有需要下载即可;Windows,linux主机加固方案和路线,有需要下载即可;Windows,linux主机加固方案和路线,有需要下载即可;Windows,linux主机加固方案和路线,有需要下载即可;
Linux系统安全加固(部分)
weixin_64227570的博客
11-19 743
理解Linux系统的测评指标,并掌握Linux系统的加固方法。Xshell(其他支持SSH协议终端) (一)登录失败处理 (二)登录失败处理 (三)远程访问安全 (四)账户安全 (五)安全审计 (六)组件及服务优化(以FTP服务器为例) (七)防火墙安全设置 (八)漏洞修补 (九)限制用户对系统资源的最大使用限度
CentOS7密码复杂度配置
weixin_45526912的博客
01-05 1113
修改pwquality.conf参数文件有2种方法,可以参考“CentOS7 设置密码规则(1)直接vi或vim编辑器 ,或者甚至用sed命令,修改/etc/security/pwquality.conf(2)使用authconfig命令修改,修改后最终会体现在/etc/security/pwquality.conf文件中使用authconfig修改密码复杂度策略
UOS统信服务器安全策略
Aall_Izz_well的博客
07-04 5106
一. 密码加固 执行命令前需要下载一个安装包,在统信系统上安装libpam-pwquality软件包 //执行该命令,开始安装libpam-pwquality软件包 sudo apt-get -y install libpam-pwquality cracklib-runtime 修改配置文件,根据密码的要求设置相应的参数 // 执行该命令,修改参数 sudo vim /etc/pam.d/common-password //将第25行的文本进行修改,修改前的文本 password req
服务器主机日常安全如何加固
Dexun_chuqi的博客
12-20 528
然而,安全是一个持续的过程,您应该密切关注最新的安全威胁和最佳实践,并根据需要调整和完善服务器的安全措施。只开放必要的端口和协议,并阻止不必要的流量。九、定期进行安全扫描和漏洞评估: 使用安全扫描工具和漏洞评估服务,定期检测服务器上的潜在漏洞和弱点,并及时采取措施修复,以提高服务器的安全性。使用安全加固指南:根据服务器类型和操作系统,可以找到相应的安全加固指南,按照指南中的步骤和建议进行服务器配置。使用安全审计工具:安全审计工具可以记录和分析服务器上的活动日志,帮助发现潜在的安全威胁和异常活动。
RedHat linux系统加固
weixin_34115824的博客
08-05 357
检查是否配置ntp服务:备份cp /etc/ntp.conf /etc/ntp.conf.bal1105编辑vi /etc/ntp.conf插入restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap启动ntpd服务:service ntpd start检查口令策略设置是否符合复杂度要求cp -p /etc/pa...
linux系统加固
weixin_34387284的博客
11-09 478
首 页 » 安全 » linux系统加固paper linux系统加固 目录: 1.BIOS 2.SSH安全 3.禁用telnet 4.禁用代码编译 5.ProFTP 6.TCPwrappers 7.创建一个SU组 8.root通知 9.history安全 10.欢迎信息 11.禁用所有特殊账户 12.chmod危险文件 13.指...
主机安全加固--升级openssh及openssl
MR_独书
08-26 2989
绿盟漏洞扫描结果: OpenSSH是SSH协议的开源实现。 OpenSSH的默认服务器配置在管理连接槽的实现上存在拒绝服务漏洞,远程攻击者可利用此漏洞耗尽服务器上连接槽,触发拒绝服务。
linux主机安全加固,linux主机安全加固方案.doc
weixin_30495795的博客
05-12 334
. .PAGEword版本PAGE 2目 录TOC \o "1-3" \h \z \u LINUX加固方案 11.安装最新安全补丁 42.网络和系统服务 43.核心调整 64.日志系统 75.文件/目录访问许可权限 76.系统访问, 认证和授权 87.用户账号和环境 108.关键安全工具的安装 111.安装最新安全补丁项目:注释:1安装操作...
RedhatCentOS虚拟机搭建流程
06-04
VMWare虚拟机上搭建RedHat6和CentOS7.9系统,包括系统的搭建详细流程以及网络IP配置,DNS配置(虚拟机访问外网)。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值