当前位置:   article > 正文

【kylin V10加固系统】_麒麟系统禁止组合键关机

麒麟系统禁止组合键关机

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档


前言

系统加固的作用是通过实施一系列安全措施,提高计算机系统的安全性,防范潜在威胁和攻击,以确保系统的稳定性、机密性和可用性。


提示:下面案例仅供参考,具体实施以实际情况做配置。

一、查看系统信息

1.查看系统版本

cat /etc/os-release
  • 1

在这里插入图片描述

2.查看内核版本

uname -r
  • 1

在这里插入图片描述

二、加固系统

1.口令锁定策略

当用户连续认证失败次数超过5次,锁定该用户使用的账号600秒。

vim /etc/pam.d/system-auth
  • 1

在这里插入图片描述

2.口令生存期

vim /etc/login.defs
  • 1

维护人员使用的账户口令的生存期不长于90天,过期前7天提醒用户。

PASS_MAX_DAYS 90    #密码可使用的最大天数。
PASS_MIN_DAYS 10    #密码修改间隔的最小天数.
PASS_WARN_AGE 7    #密码过期前的警告天数。
  • 1
  • 2
  • 3

3.口令复杂度

vim /etc/security/pwquality.conf

minlen = 8      # 最小密码长度
minclass = 4    # 最小字符类别数(大写、小写、数字、特殊字符)
  • 1
  • 2

4.限制root用户SSH远程登录

vim /etc/ssh/sshd_config

PermitRootLogin no   #修改参数
systemctl restart ssh  #重启使配置生效
  • 1
  • 2

5.使用SSH协议进行远程维护

默认没有安装telnet服务

systemctl list-unit-files |grep telnet  #查看telnet服务是否存在,若存在禁用它
  • 1

6.配置用户最小授权

chmod 644 /etc/group /etc/passwd /etc/services
chmod 400 /etc/shadow
chmod 600 /etc/security/
  • 1
  • 2
  • 3

在这里插入图片描述

7.使用PAM认证模块禁止wheel组之外的用户su为root (麒麟默认合规)

!谨慎使用
vim /etc/pam.d/su
在文件中添加以下内容

auth required pam_wheel.so use_uid group=wheel
  • 1

修改后,只有属于wheel组的用户才能使用su命令切换为root。其他用户将无法通过su切换为root。请确保系统中存在wheel组,并且只有受信任的用户被添加到该组。此外,修改PAM配置可能对系统的安全性产生影响,因此在进行更改之前,请确保测试并理解这些更改可能带来的影响。

8.记录cron行为日志

检查syslog.conf配置了cron行为日志记录

cat  /etc/rsyslog.conf |grep cron
  • 1

在这里插入图片描述

9.建议删除潜在危险文件(麒麟默认合规)

.rhosts,.netrc,hosts.equiv等文件都具有潜在的危险,如果没有应用,应该删除。

10.文件与目录缺省权限控制

vim /etc/profile
umask 027

11.禁止UID为0的用户存在多个

awk -F: '$3 == 0' /etc/passwd
  • 1

在这里插入图片描述

12.配置NFS服务限制

使用 TCP Wrapper(TCP Wrapper 是一种访问控制机制)
按照实际情况添加
示例:

/etc/hosts.deny
nfsd: ALL

/etc/hosts.allow
nfsd : 192.168.1.100
  • 1
  • 2
  • 3
  • 4
  • 5

这表示只允许 IP 地址为 192.168.1.100 的主机对 NFS 服务的访问。

13.禁止组合键关机

vim /etc/systemd/logind.conf
添加参数

HandlePowerKey=ignore
HandleSuspendKey=ignore
HandleHibernateKey=ignore
HandleLidSwitch=ignore
  • 1
  • 2
  • 3
  • 4

重启服务使配置生效
systemctl restart systemd-logind

14.限制远程登录的IP

按照实际情况添加
示例:

/etc/hosts.allow    #添加允许的IP地址 
sshd: 192.168.1.100
/etc/hosts.deny     #添加禁止的IP地址 
sshd: ALL

(这将拒绝除 192.168.1.100 之外的所有IP地址登录)
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6

15.配置NTP

timedatectl set-timezone "Asia/Shanghai"
  • 1

在这里插入图片描述

16.修改SNMP的默认Community

vim /etc/snmp/snmpd.conf
在文件中找到类似以下的行

rocommunity public
  • 1

这表示使用 “public” 作为只读 Community。你可以更改为你想要的字符串,然后保存文件。

17.设置屏幕锁定(没有图形界面无需修改)

18.配置su命令使用情况记录

yum install audit -y
  • 1
#编辑文件
vim /etc/audit/audit.rules
#添加规则
-w /bin/su -p x -k su-command
#重启服务
systemctl restart auditd 
#查看审计日志
ausearch -k su-command
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8

19.更改主机解析地址的顺序

vim /etc/host.conf

### 先查找本地 /etc/hosts 文件,然后再尝试使用 DNS (bind) 进行解析
order hosts,bind

###[支持主机多网络]### 
###允许系统从主机名解析时返回多个 IP 地址(或域名)
multi on

###防止地址欺骗
nospoof on
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9

20.打开syncookie缓解syn flood攻击(默认开启)

默认1,开启

cat /proc/sys/net/ipv4/tcp_syncookies
  • 1

21.历史命令设置

vim /etc/profile
HISTFILESIZE=5 #记录5条历史命令

22.关闭不需要的系统通用服务

systemctl list-unit-files --type=service |grep enabled
  • 1

查看是否由不必要的服务开启,如:E-Mail(25、 110)、Web(80、8080)、FTP(20、21)、
telnet(23)、rlogin(23)服务、SMB(445、 139)等。
使用以下命令禁用服务
systemctl disable 服务名

23.检查主机USB、光驱等接口封闭情况

此方案待验证
vim /etc/udev/rules.d/10-usb-storage.rules

##禁用USB
SUBSYSTEMS=="usb", DRIVERS=="usb-storage", ACTION=="add", RUN+="/bin/rmmod usb_storage"

##禁用光驱
ACTION=="add", KERNEL=="sr0", RUN+="/bin/eject -i on $root/$name"
  • 1
  • 2
  • 3
  • 4
  • 5

24.登录超时时间设置

vim /etc/profile
export TMOUT=300

25.账号文件权限设置

  1. /etc/passwd文件的权限<=644 (所有用户必须要有读权限,只有root用户有写的权限)
  2. /etc/shadow文件的权限<=600 (只有root用户拥有该文件的读写权限)
  3. /etc/group文件的权限<=644 (所有用户必须要有读权限,只有root用户有写的权限)
chmod 644 /etc/passwd /etc/group
chmod 600 /etc/shadow
  • 1
  • 2

26.删除无关帐号

查看/etc/passwd文件
lp、sync、halt、news、uucp、operator、games、gopher、smmsp、nfsnobody、nobody用户不存在,
或存在检查/etc/shadow文件对应密码以*或!!开头。

userdel lp
userdel sync
userdel halt
userdel news
userdel uucp
userdel operator
userdel games
userdel gopher
userdel smmsp
userdel nfsnobody
userdel nobody
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11

27.操作系统启动为非root账号启动

默认没有安装图形化界面(没有GDM (GNOME Display Manager)或LightDM(Light Display Manager)),无法进行配置。
(用其它方法实现可能存在风险,需要验证)

28.避免系统存在uid相同的账号(麒麟默认合规)

使用如下命令查询系统中uid相同的用户
#logins –d
系统中不存在uid相同的用户则合规,否则为不合规。
麒麟不存在,麒麟/etc/passwd文件不能修改,只能通过命令方式创建账号,故合规

29.删除默认路由 添加主机路由

(需根据实际情况加固)
添加路由

#示例:添加到目标网络 192.168.1.0/24 的路由,下一跳地址为 192.168.0.1,使用 eth0 接口
sudo ip route add 192.168.1.0/24 via 192.168.0.1 dev eth0

#示例:添加默认路由,下一跳地址为 192.168.0.1,使用 eth0 接口
sudo ip route add default via 192.168.0.1 dev eth0
  • 1
  • 2
  • 3
  • 4
  • 5

删除路由

# 示例:删除到目标网络 192.168.1.0/24 的路由,下一跳地址为 192.168.0.1,使用 eth0 接口
sudo ip route del 192.168.1.0/24 via 192.168.0.1 dev eth0

# 示例:删除默认路由,下一跳地址为 192.168.0.1,使用 eth0 接口
sudo ip route del default via 192.168.0.1 dev eth0
  • 1
  • 2
  • 3
  • 4
  • 5

30.修改SSH banner信息

vim /etc/ssh/sshd_config

#指定您自定义Banner文件的路径
Banner /etc/ssh/banner.txt
  • 1
  • 2

vim /etc/ssh/banner.txt
警告:这是一个私有系统。禁止未经授权的访问。所有的活动都要被监控和记录。
如果您未被授权访问此系统,请立即断开连接。

#重启服务生效

systemctl restart sshd
  • 1
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/IT小白/article/detail/983460
推荐阅读
相关标签
  

闽ICP备14008679号