提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档
文章目录
- 前言
- 一、查看系统信息
- 二、加固系统
- 1.口令锁定策略
- 2.口令生存期
- 3.口令复杂度
- 4.限制root用户SSH远程登录
- 5.使用SSH协议进行远程维护
- 6.配置用户最小授权
- 7.使用PAM认证模块禁止wheel组之外的用户su为root (麒麟默认合规)
- 8.记录cron行为日志
- 9.建议删除潜在危险文件(麒麟默认合规)
- 10.文件与目录缺省权限控制
- 11.禁止UID为0的用户存在多个
- 12.配置NFS服务限制
- 13.禁止组合键关机
- 14.限制远程登录的IP
- 15.配置NTP
- 16.修改SNMP的默认Community
- 17.设置屏幕锁定(没有图形界面无需修改)
- 18.配置su命令使用情况记录
- 19.更改主机解析地址的顺序
- 20.打开syncookie缓解syn flood攻击(默认开启)
- 21.历史命令设置
- 22.关闭不需要的系统通用服务
- 23.检查主机USB、光驱等接口封闭情况
- 24.登录超时时间设置
- 25.账号文件权限设置
- 26.删除无关帐号
- 27.操作系统启动为非root账号启动
- 28.避免系统存在uid相同的账号(麒麟默认合规)
- 29.删除默认路由 添加主机路由
- 30.修改SSH banner信息
前言
系统加固的作用是通过实施一系列安全措施,提高计算机系统的安全性,防范潜在威胁和攻击,以确保系统的稳定性、机密性和可用性。
提示:下面案例仅供参考,具体实施以实际情况做配置。
一、查看系统信息
1.查看系统版本
cat /etc/os-release
2.查看内核版本
uname -r
二、加固系统
1.口令锁定策略
当用户连续认证失败次数超过5次,锁定该用户使用的账号600秒。
vim /etc/pam.d/system-auth
2.口令生存期
vim /etc/login.defs
维护人员使用的账户口令的生存期不长于90天,过期前7天提醒用户。
PASS_MAX_DAYS 90 #密码可使用的最大天数。
PASS_MIN_DAYS 10 #密码修改间隔的最小天数.
PASS_WARN_AGE 7 #密码过期前的警告天数。
3.口令复杂度
vim /etc/security/pwquality.conf
minlen = 8 # 最小密码长度
minclass = 4 # 最小字符类别数(大写、小写、数字、特殊字符)
4.限制root用户SSH远程登录
vim /etc/ssh/sshd_config
PermitRootLogin no #修改参数
systemctl restart ssh #重启使配置生效
5.使用SSH协议进行远程维护
默认没有安装telnet服务
systemctl list-unit-files |grep telnet #查看telnet服务是否存在,若存在禁用它
6.配置用户最小授权
chmod 644 /etc/group /etc/passwd /etc/services
chmod 400 /etc/shadow
chmod 600 /etc/security/
7.使用PAM认证模块禁止wheel组之外的用户su为root (麒麟默认合规)
!谨慎使用
vim /etc/pam.d/su
在文件中添加以下内容
auth required pam_wheel.so use_uid group=wheel
修改后,只有属于wheel组的用户才能使用su命令切换为root。其他用户将无法通过su切换为root。请确保系统中存在wheel组,并且只有受信任的用户被添加到该组。此外,修改PAM配置可能对系统的安全性产生影响,因此在进行更改之前,请确保测试并理解这些更改可能带来的影响。
8.记录cron行为日志
检查syslog.conf配置了cron行为日志记录
cat /etc/rsyslog.conf |grep cron
9.建议删除潜在危险文件(麒麟默认合规)
.rhosts,.netrc,hosts.equiv等文件都具有潜在的危险,如果没有应用,应该删除。
10.文件与目录缺省权限控制
vim /etc/profile
umask 027
11.禁止UID为0的用户存在多个
awk -F: '$3 == 0' /etc/passwd
12.配置NFS服务限制
使用 TCP Wrapper(TCP Wrapper 是一种访问控制机制)
按照实际情况添加
示例:
/etc/hosts.deny
nfsd: ALL
/etc/hosts.allow
nfsd : 192.168.1.100
这表示只允许 IP 地址为 192.168.1.100 的主机对 NFS 服务的访问。
13.禁止组合键关机
vim /etc/systemd/logind.conf
添加参数
HandlePowerKey=ignore
HandleSuspendKey=ignore
HandleHibernateKey=ignore
HandleLidSwitch=ignore
重启服务使配置生效
systemctl restart systemd-logind
14.限制远程登录的IP
按照实际情况添加
示例:
/etc/hosts.allow #添加允许的IP地址
sshd: 192.168.1.100
/etc/hosts.deny #添加禁止的IP地址
sshd: ALL
(这将拒绝除 192.168.1.100 之外的所有IP地址登录)
15.配置NTP
timedatectl set-timezone "Asia/Shanghai"
16.修改SNMP的默认Community
vim /etc/snmp/snmpd.conf
在文件中找到类似以下的行
rocommunity public
这表示使用 “public” 作为只读 Community。你可以更改为你想要的字符串,然后保存文件。
17.设置屏幕锁定(没有图形界面无需修改)
18.配置su命令使用情况记录
yum install audit -y
#编辑文件
vim /etc/audit/audit.rules
#添加规则
-w /bin/su -p x -k su-command
#重启服务
systemctl restart auditd
#查看审计日志
ausearch -k su-command
19.更改主机解析地址的顺序
vim /etc/host.conf
### 先查找本地 /etc/hosts 文件,然后再尝试使用 DNS (bind) 进行解析
order hosts,bind
###[支持主机多网络]###
###允许系统从主机名解析时返回多个 IP 地址(或域名)
multi on
###防止地址欺骗
nospoof on
20.打开syncookie缓解syn flood攻击(默认开启)
默认1,开启
cat /proc/sys/net/ipv4/tcp_syncookies
21.历史命令设置
vim /etc/profile
HISTFILESIZE=5 #记录5条历史命令
22.关闭不需要的系统通用服务
systemctl list-unit-files --type=service |grep enabled
查看是否由不必要的服务开启,如:E-Mail(25、 110)、Web(80、8080)、FTP(20、21)、
telnet(23)、rlogin(23)服务、SMB(445、 139)等。
使用以下命令禁用服务
systemctl disable 服务名
23.检查主机USB、光驱等接口封闭情况
此方案待验证
vim /etc/udev/rules.d/10-usb-storage.rules
##禁用USB
SUBSYSTEMS=="usb", DRIVERS=="usb-storage", ACTION=="add", RUN+="/bin/rmmod usb_storage"
##禁用光驱
ACTION=="add", KERNEL=="sr0", RUN+="/bin/eject -i on $root/$name"
24.登录超时时间设置
vim /etc/profile
export TMOUT=300
25.账号文件权限设置
- /etc/passwd文件的权限<=644 (所有用户必须要有读权限,只有root用户有写的权限)
- /etc/shadow文件的权限<=600 (只有root用户拥有该文件的读写权限)
- /etc/group文件的权限<=644 (所有用户必须要有读权限,只有root用户有写的权限)
chmod 644 /etc/passwd /etc/group
chmod 600 /etc/shadow
26.删除无关帐号
查看/etc/passwd文件
lp、sync、halt、news、uucp、operator、games、gopher、smmsp、nfsnobody、nobody用户不存在,
或存在检查/etc/shadow文件对应密码以*或!!开头。
userdel lp
userdel sync
userdel halt
userdel news
userdel uucp
userdel operator
userdel games
userdel gopher
userdel smmsp
userdel nfsnobody
userdel nobody
27.操作系统启动为非root账号启动
默认没有安装图形化界面(没有GDM (GNOME Display Manager)或LightDM(Light Display Manager)),无法进行配置。
(用其它方法实现可能存在风险,需要验证)
28.避免系统存在uid相同的账号(麒麟默认合规)
使用如下命令查询系统中uid相同的用户
#logins –d
系统中不存在uid相同的用户则合规,否则为不合规。
麒麟不存在,麒麟/etc/passwd文件不能修改,只能通过命令方式创建账号,故合规
29.删除默认路由 添加主机路由
(需根据实际情况加固)
添加路由
#示例:添加到目标网络 192.168.1.0/24 的路由,下一跳地址为 192.168.0.1,使用 eth0 接口
sudo ip route add 192.168.1.0/24 via 192.168.0.1 dev eth0
#示例:添加默认路由,下一跳地址为 192.168.0.1,使用 eth0 接口
sudo ip route add default via 192.168.0.1 dev eth0
删除路由
# 示例:删除到目标网络 192.168.1.0/24 的路由,下一跳地址为 192.168.0.1,使用 eth0 接口
sudo ip route del 192.168.1.0/24 via 192.168.0.1 dev eth0
# 示例:删除默认路由,下一跳地址为 192.168.0.1,使用 eth0 接口
sudo ip route del default via 192.168.0.1 dev eth0
30.修改SSH banner信息
vim /etc/ssh/sshd_config
#指定您自定义Banner文件的路径
Banner /etc/ssh/banner.txt
vim /etc/ssh/banner.txt
警告:这是一个私有系统。禁止未经授权的访问。所有的活动都要被监控和记录。
如果您未被授权访问此系统,请立即断开连接。
#重启服务生效
systemctl restart sshd
869
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
