Linux系统安全加固
@[笔记]
系统账户清理
将非登录账号用户的Shell设置为、sbin/nologin
锁定长期不用的账号
删除无用账号
锁定帐号文件passwd shadow(不再做用户管理的操作)
chattr +i /etc/passwd /etc/shadow 锁定文件
chattr -i /etc/passwd /etc/shadow 解锁文件
lsattr /etc/passwd /etc/shadow 查看文件锁定情况
密码安全控制
设置密码有效期
例子:设置30天为有效期
新用户
vim /etc/login.defs文件中
PASS_MAX_DAYS 30
已存在的用户
change -M 30 lisi
要求下次登录时修改密码
change -d 0 zhangsan 强制下次登录时修改密码
命令历史限制
减少记录命令条数
vim /etc/profile
HISTSIZE = 200 设置默认保存200条历史记录
注销时清空命令历史
新用户修改模板文件即 /etc/skel文件夹下的文件
已经存在的用户
vim ~/.bash_logout
在该文件中添加以下两条语句
history -c
clear
终端自动注销
闲置一段时间(60s)后自动注销
vim ~/.bash_profile
export TMOUT=60
限制su命令的用户
启用pam_wheel认证模块
将允许使用su命令的用户加入wheel组
vim /etc/pam.d/su 下的
auth required pam_wheel.so use_uid这一行的#号去掉
将允许使用su的lisi用户添加到wheel组 gpasswd -a lisi wheel
修改sudo授权
visudo或者 vim /etc/sudoers
记录格式:用户 主机名列表=命令程序列表
*号代表所有 !号表示取反
sudo -l 查看分配的权限
取别名(多个用户)
例如
User_Alias Admin = zhangsan,lisi,wangwu
Host_alias Services = webserver,mailserver,ftpserver
Cmnd_alias PKG = /sbin/ifconfig,/usr/bin/yum
使用组
查看sudo操作日志
需要启动Defaults logfile配置
输入命令visudo
查看Defaults logfile后边的路径,默认路径为: /var/log/sudo
则日志文件位于上述路径
未开启日志文件则存在于/var/log/secure
调整BIOS引导设置
重启热键ctrl+alt+del
GRUB菜单限制
未授权修改启动参数
未授权进入指定系统
密码设置方式(grub.conf)
password --MD5 加密密码字符串
通过grub-md5-crypt生成MD5字符串复制到/boot/grub/grub.conf文件中的第一个title前
格式 password --md5 MD5字符串
减少终端开放个数
修改文件vim /etc/init/start-ttys.conf 或者 /etc/sysconfig/init中的 =/dev/tty[123456]
限制root用户登录的终端
文件位置/etc/securetty 将文件中的tty5,tty6前加上#号则root用户禁止在tty5,tty6上登录
禁止普通用户登录
touch /etc/nologin
取消禁止
删除上述文件
弱口令检测
JR(joth the Ripper)工具
分析shadow文件
准备密码字典password.lst
执行john程序,结合–wordlist=字典文件
网络端口扫描
NMAP的使用
/nologin
取消禁止
删除上述文件
弱口令检测
JR(joth the Ripper)工具
分析shadow文件
准备密码字典password.lst
执行john程序,结合–wordlist=字典文件
网络端口扫描
NMAP的使用