zoukankan      html  css  js  c++  java
  • Centos系统安全配置

    禁用root以外的超级用户
    1检测方法
    cat /etc/passwd 查看口令文件,文件格式如下
    login_name:password:user_ID:group_ID:comment:home_dir:command
    若user_ID=0,则该用户拥有超级用户的权限。查看此处是否有多个ID=0
    2、检测命令
    [root@master ~]# cat /etc/passwd | awk -F ':' '{print$1,$3}' | grep ' 0$'
    root 0

    3、备份方法

    [root@master ~]# cp -p /etc/passwd /etc/passwd_bak

    4、加固方法

    使用命令passwd -l <用户名>锁定不必要的超级账户 
    使用命令passwd -u <用户名>解锁需要恢复的超级账户
    或把用户shell改为/sbin/nologin
    删除不必要的账号

    1、可删除的用户

    adm,lp,sync,shutdown,halt,mail,operator,games,ftp等

     2、可删除的组

    adm,lp,games,mail等

     3、删除命令

    userdel username
     groupdel groupname
    用户口令设置
    用户口令是Linux/Unix安全的一个基本起点,很多人使用的用户口令过于简单,这等于给侵入者敞开了大门,虽然从理论上说,只要有足够的时间和资源可以利用,就没有不能破解的用户口令,但选取得当的
    口令是难于破解的。较好的用户口令是那些只有他自己容易记得并理解的一串字符,最好不要把密码记录出
    来,如果有需要的话,也要保管好记录密码的文件,或者将这个文件加密。
    生产环境口令要求:包含大写字母、小写字母、数字和特殊字符四种中的三种,并且口令整体长度大于
    10位,每台服务器的口令不相同。
    修改改密码长度/etc/login.defs
    PASS_MIN_LEN 10
    检查空口令账号
    如果发现有账号口令为空,需要强制加入符合规格的口令
    检查方法:
    [root@master ~]# awk -F ":" '($2 == ""){print $1}' /etc/shadow
    口令文件加锁
    chattr命令给下面的文件加上不可更改属性,从而防止非授权用户获得权限。

    [root@master ~]# chattr +i /etc/passwd
    [root@master ~]# chattr +i /etc/shadow
    [root@master ~]# chattr +i /etc/group
    [root@master ~]# chattr +i /etc/gshadow

    [root@master ~]# lsattr /etc/passwd /etc/shadow /etc/group /etc/gshadow
    ----i----------- /etc/passwd
    ----i----------- /etc/shadow
    ----i----------- /etc/group
    ----i----------- /etc/gshadow
    设置root 账户自动注销时限
    修改环境引导文件/etc/profile中的TMOUT参数,TMOUT参数按秒计算
    vi /etc/profile
    在"HISTFILESIZE="后面加入下面这行
    TMOUT=300
    改变这项设置后,必须先注销用户,再用该用户登陆才能激活这个功能
    如果想修改某个用户的自动注销时限,可以在用户目录下的".bashrc"文件中添加该值,以便系统对该
    用户实行特殊的自动注销时间
    限制su命令
    禁止任何人能够su切换为root,编辑/etc/pam.d/su文件,增加如下行:
    1 . auth sufficient/lib/security/pam_rootok.sodebug
    2 . auth required/lib/security/pam_wheel.sogroup=isd

    这时,仅wheel组的用户可以su作为root。此后,如果希望用户admin能够su作为root,可以运行如下
    命令:
    #usermod –G 10 admin
    限制普通用户无法执行关机、重启、配置网络等敏感操作
    删除/etc/security/console.apps下的halt、reboot、poweroff、shutdown等程序的访问控制文
    件,以禁止普通用户执行该命令 也可以整体删除/etc/security/console.apps下的所有配置文件
    rm –rf /etc/security/console.apps/*
    设置开机启动服务文件夹权限
    设置/etc/rc.d/init.d/目录下所有文件的许可权限,此目录下文件 为开机启动项,运行如下命令:

    这样便仅有root可以读、写或执行上述所有脚本文件。
    避免login时显示系统和版本信息
    删除信息文件:

    限制网络访问
    使用NFS网络文件系统服务,应该确保/etc/exports具有最严格的访问权限设置,也就是意味着不要使
    用任何通配符、不允许root写权限并且只能安装为只读文件系统。编辑文件/etc/exports并加入如下两行。
    /dir/to/exporthost1.mydomain.com(ro,root_squash)
    /dir/to/exporthost2.mydomain.com(ro,root_squash)

    /dir/to/export是您想输出的目录,host.mydomain.com是登录这个目录的机器名,ro意味着mount成只读
    系统,root_squash禁止root写入该目录。为了使改动生效,运行如下命令。
    #/usr/sbin/exportfs-a
    登录终端设置
    /etc/securetty文件指定了允许root登录的tty设备,由/bin/login程序读取,其格式是一个被允许的名字 列表,可以编辑/etc/securetty且注释掉如下的行。
    [root@master security]# cat /etc/securetty    注释掉tty2至tty7
    console
    vc/1
    vc/2
    vc/3
    vc/4
    vc/5
    vc/6
    vc/7
    vc/8
    vc/9
    vc/10
    vc/11
    tty1
    tty2
    tty3
    tty4
    tty5
    tty6
    tty7
    tty8
    tty9
    tty10
    tty11
    ttyS0
    ttysclp0
    sclp_line0
    3270/tty1
    hvc0
    hvc1
    hvc2
    hvc3
    hvc4
    hvc5
    hvc6
    hvc7
    hvsi0
    hvsi1
    hvsi2
    xvc0
    这时,root仅可在tty1终端登录。
    防止攻击
    一、防止IP欺骗
    编辑host.conf文件并增加如下几行来防止IP欺骗攻击。

     1.o rd e r h o s t s ,b i n d  #名称解释顺序

    2.m u l t i o n    #允许主机拥有多个IP地址  
    3.n o s p o o f o n  #禁止IP地址欺骗。
     
    防止DOS攻击。
    对系统所有的用户设置资源限制可以防止DoS类型攻击。如最大进程数和内存使用数量等。例如,可以
    在/etc/security/limits.conf中添加如下几行:

    然后必须编辑/etc/pam.d/login文件检查下面一行是否存在。
    sessionrequired/lib/security/pam_limits.so

    上面的命令禁止调试文件,限制进程数为50并且限制内存使用为5MB。

    阻止PING,抵御SYN

    如 果 没 人 能 p ing 通 系 统 , 安 全 性 自 然 增 加 了 , 为 此 , 我 们 可 以 在 / e t c / r c . d / r c . lo c a l文 件 中 增
    加 如 下 一 行

     

     

     

     

    s y s c tl -w ne t. ip v 4 .t c p _ma x _ s yn_b a c k lo g = 2 0 4 8 # 增 加 S Y N 队 列 长 度 到 2 0 4 8
    s y s c tl -w ne t. ip v 4 .t c p _ s ync o o k i e s = 1 # 打 开 S Y N C O O K I E功 能
    s y s c tl -w ne t. ip v 4 .t c p _ s yna c k _ r e tr i e s = 3 # 降 低 重 试 次 数
    s y s c tl -w ne t. ip v 4 .t c p _ s yn_ r e tr i e s = 3
     
    设置系统密码策略
    执行命令查看密码策略设置
    加固方法:
     
     
     
     
     
     
     
     
     
     
     
     
  • 相关阅读:
    Blank page instead of the SharePoint Central Administration site
    BizTalk 2010 BAM Configure
    Use ODBA with Visio 2007
    Handling SOAP Exceptions in BizTalk Orchestrations
    BizTalk与WebMethods之间的EDI交换
    Append messages in BizTalk
    FTP protocol commands
    Using Dynamic Maps in BizTalk(From CodeProject)
    Synchronous To Asynchronous Flows Without An Orchestration的简单实现
    WSE3 and "Action for ultimate recipient is required but not present in the message."
  • 原文地址:https://www.cnblogs.com/liujunjun/p/12451762.html
Copyright © 2011-2022 走看看