赞
踩
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档
系统加固的作用是通过实施一系列安全措施,提高计算机系统的安全性,防范潜在威胁和攻击,以确保系统的稳定性、机密性和可用性。
提示:下面案例仅供参考,具体实施以实际情况做配置。
cat /etc/os-release
uname -r
当用户连续认证失败次数超过5次,锁定该用户使用的账号600秒。
vim /etc/pam.d/system-auth
vim /etc/login.defs
维护人员使用的账户口令的生存期不长于90天,过期前7天提醒用户。
PASS_MAX_DAYS 90 #密码可使用的最大天数。
PASS_MIN_DAYS 10 #密码修改间隔的最小天数.
PASS_WARN_AGE 7 #密码过期前的警告天数。
vim /etc/security/pwquality.conf
minlen = 8 # 最小密码长度
minclass = 4 # 最小字符类别数(大写、小写、数字、特殊字符)
vim /etc/ssh/sshd_config
PermitRootLogin no #修改参数
systemctl restart ssh #重启使配置生效
默认没有安装telnet服务
systemctl list-unit-files |grep telnet #查看telnet服务是否存在,若存在禁用它
chmod 644 /etc/group /etc/passwd /etc/services
chmod 400 /etc/shadow
chmod 600 /etc/security/
!谨慎使用
vim /etc/pam.d/su
在文件中添加以下内容
auth required pam_wheel.so use_uid group=wheel
修改后,只有属于wheel组的用户才能使用su命令切换为root。其他用户将无法通过su切换为root。请确保系统中存在wheel组,并且只有受信任的用户被添加到该组。此外,修改PAM配置可能对系统的安全性产生影响,因此在进行更改之前,请确保测试并理解这些更改可能带来的影响。
检查syslog.conf配置了cron行为日志记录
cat /etc/rsyslog.conf |grep cron
.rhosts,.netrc,hosts.equiv等文件都具有潜在的危险,如果没有应用,应该删除。
vim /etc/profile
umask 027
awk -F: '$3 == 0' /etc/passwd
使用 TCP Wrapper(TCP Wrapper 是一种访问控制机制)
按照实际情况添加
示例:
/etc/hosts.deny
nfsd: ALL
/etc/hosts.allow
nfsd : 192.168.1.100
这表示只允许 IP 地址为 192.168.1.100 的主机对 NFS 服务的访问。
vim /etc/systemd/logind.conf
添加参数
HandlePowerKey=ignore
HandleSuspendKey=ignore
HandleHibernateKey=ignore
HandleLidSwitch=ignore
重启服务使配置生效
systemctl restart systemd-logind
按照实际情况添加
示例:
/etc/hosts.allow #添加允许的IP地址
sshd: 192.168.1.100
/etc/hosts.deny #添加禁止的IP地址
sshd: ALL
(这将拒绝除 192.168.1.100 之外的所有IP地址登录)
timedatectl set-timezone "Asia/Shanghai"
vim /etc/snmp/snmpd.conf
在文件中找到类似以下的行
rocommunity public
这表示使用 “public” 作为只读 Community。你可以更改为你想要的字符串,然后保存文件。
yum install audit -y
#编辑文件
vim /etc/audit/audit.rules
#添加规则
-w /bin/su -p x -k su-command
#重启服务
systemctl restart auditd
#查看审计日志
ausearch -k su-command
vim /etc/host.conf
### 先查找本地 /etc/hosts 文件,然后再尝试使用 DNS (bind) 进行解析
order hosts,bind
###[支持主机多网络]###
###允许系统从主机名解析时返回多个 IP 地址(或域名)
multi on
###防止地址欺骗
nospoof on
默认1,开启
cat /proc/sys/net/ipv4/tcp_syncookies
vim /etc/profile
HISTFILESIZE=5 #记录5条历史命令
systemctl list-unit-files --type=service |grep enabled
查看是否由不必要的服务开启,如:E-Mail(25、 110)、Web(80、8080)、FTP(20、21)、
telnet(23)、rlogin(23)服务、SMB(445、 139)等。
使用以下命令禁用服务
systemctl disable 服务名
此方案待验证
vim /etc/udev/rules.d/10-usb-storage.rules
##禁用USB
SUBSYSTEMS=="usb", DRIVERS=="usb-storage", ACTION=="add", RUN+="/bin/rmmod usb_storage"
##禁用光驱
ACTION=="add", KERNEL=="sr0", RUN+="/bin/eject -i on $root/$name"
vim /etc/profile
export TMOUT=300
chmod 644 /etc/passwd /etc/group
chmod 600 /etc/shadow
查看/etc/passwd文件
lp、sync、halt、news、uucp、operator、games、gopher、smmsp、nfsnobody、nobody用户不存在,
或存在检查/etc/shadow文件对应密码以*或!!开头。
userdel lp
userdel sync
userdel halt
userdel news
userdel uucp
userdel operator
userdel games
userdel gopher
userdel smmsp
userdel nfsnobody
userdel nobody
默认没有安装图形化界面(没有GDM (GNOME Display Manager)或LightDM(Light Display Manager)),无法进行配置。
(用其它方法实现可能存在风险,需要验证)
使用如下命令查询系统中uid相同的用户
#logins –d
系统中不存在uid相同的用户则合规,否则为不合规。
麒麟不存在,麒麟/etc/passwd文件不能修改,只能通过命令方式创建账号,故合规
(需根据实际情况加固)
添加路由
#示例:添加到目标网络 192.168.1.0/24 的路由,下一跳地址为 192.168.0.1,使用 eth0 接口
sudo ip route add 192.168.1.0/24 via 192.168.0.1 dev eth0
#示例:添加默认路由,下一跳地址为 192.168.0.1,使用 eth0 接口
sudo ip route add default via 192.168.0.1 dev eth0
删除路由
# 示例:删除到目标网络 192.168.1.0/24 的路由,下一跳地址为 192.168.0.1,使用 eth0 接口
sudo ip route del 192.168.1.0/24 via 192.168.0.1 dev eth0
# 示例:删除默认路由,下一跳地址为 192.168.0.1,使用 eth0 接口
sudo ip route del default via 192.168.0.1 dev eth0
vim /etc/ssh/sshd_config
#指定您自定义Banner文件的路径
Banner /etc/ssh/banner.txt
vim /etc/ssh/banner.txt
警告:这是一个私有系统。禁止未经授权的访问。所有的活动都要被监控和记录。
如果您未被授权访问此系统,请立即断开连接。
#重启服务生效
systemctl restart sshd
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。