Linux系统安全加固

Linux系统安全加固

@[笔记]

系统账户清理

将非登录账号用户的Shell设置为、sbin/nologin

锁定长期不用的账号

删除无用账号

锁定帐号文件passwd shadow（不再做用户管理的操作）

chattr +i /etc/passwd /etc/shadow 锁定文件

chattr -i /etc/passwd /etc/shadow 解锁文件

lsattr /etc/passwd /etc/shadow 查看文件锁定情况

密码安全控制

设置密码有效期

例子：设置30天为有效期

新用户

vim /etc/login.defs文件中

PASS_MAX_DAYS 30

已存在的用户

change -M 30 lisi

要求下次登录时修改密码

change -d 0 zhangsan 强制下次登录时修改密码

命令历史限制

减少记录命令条数

vim /etc/profile

HISTSIZE = 200 设置默认保存200条历史记录

注销时清空命令历史

新用户修改模板文件即 /etc/skel文件夹下的文件

已经存在的用户

vim ~/.bash_logout

在该文件中添加以下两条语句

history -c

clear

终端自动注销

闲置一段时间(60s)后自动注销

vim ~/.bash_profile

export TMOUT=60

限制su命令的用户

启用pam_wheel认证模块

将允许使用su命令的用户加入wheel组

vim /etc/pam.d/su 下的

auth required pam_wheel.so use_uid这一行的#号去掉

将允许使用su的lisi用户添加到wheel组 gpasswd -a lisi wheel

修改sudo授权

visudo或者 vim /etc/sudoers

记录格式：用户 主机名列表=命令程序列表

*号代表所有 ！号表示取反

sudo -l 查看分配的权限

取别名（多个用户）

例如

User_Alias Admin = zhangsan，lisi，wangwu

Host_alias Services = webserver,mailserver,ftpserver

Cmnd_alias PKG = /sbin/ifconfig,/usr/bin/yum

使用组

查看sudo操作日志

需要启动Defaults logfile配置

输入命令visudo

查看Defaults logfile后边的路径，默认路径为： /var/log/sudo

则日志文件位于上述路径

未开启日志文件则存在于/var/log/secure

调整BIOS引导设置

重启热键ctrl+alt+del

GRUB菜单限制

未授权修改启动参数

未授权进入指定系统

密码设置方式（grub.conf）

password --MD5 加密密码字符串

通过grub-md5-crypt生成MD5字符串复制到/boot/grub/grub.conf文件中的第一个title前

格式 password --md5 MD5字符串

减少终端开放个数

修改文件vim /etc/init/start-ttys.conf 或者 /etc/sysconfig/init中的 =/dev/tty[123456]

限制root用户登录的终端

文件位置/etc/securetty 将文件中的tty5，tty6前加上#号则root用户禁止在tty5，tty6上登录

禁止普通用户登录

touch /etc/nologin

取消禁止

删除上述文件

弱口令检测

JR(joth the Ripper)工具

分析shadow文件

准备密码字典password.lst

执行john程序，结合–wordlist=字典文件

网络端口扫描

​ NMAP的使用

/nologin

取消禁止

删除上述文件

弱口令检测

JR(joth the Ripper)工具

分析shadow文件

准备密码字典password.lst

执行john程序，结合–wordlist=字典文件

网络端口扫描

​ NMAP的使用