zoukankan      html  css  js  c++  java
  • [企业级linux安全管理]- 安全管理基础(1)

    1. 操作条件

    (1)装有 Cent OS Linux 操作系统的虚拟机一台 

    2. 背景: 

    某企业有一台服务器,其信息如下:

    (1)  该服务器上存在管理员 root,密码为 root,另存有一些具有 root 权限的
       其他账户,经确认这些账户长期未使用;

    (2)  “/secure”文件夹为公司开发部的重要文件夹,目前权限为所有人完全
    控制。实际使用需求为:只有 “develops”组的管理员“deadmin”和
    “develops”小组成员能对组进行任何操作;其他用户组只能查看。 

    (3)  服务器默认可以通过所有的 TTY 进行登录,并且 root 用户可以通过 SSH
    进行远程登录; 

    (4)  任何用户可以切换 su 登录。

    3. 需求: 现需要对该服务器进行安全加固,减少攻击面: 

    (1)  防止黑客爆破 root 用户密码,并防止黑客通过其他管理员用户入侵的可 能性。

    对新建账户强制要求 8 位以上的复杂密码,并至少每两个月修改一 次密码,到期前一个礼拜 醒客户修改密码;
    (2)  防止未经授权的文件访问;
    (3)  防止未经授权的 TTY 登录,仅留 1,2 两个 TTY 登录入口;
    (4)  防止 root 用户直接远程登录;
    (5) 防止因忘记注销而产生的安全问题,超时 5 分钟后自动注销; (6) 防止任意用户使用 su 切换成 root 账户;
    (7) 防止账户文件被修改。 

    4. 具体要求: 

    (1) 找出并锁定未使用的管理员账户,并对管理员账户设置强密码 1qaz@WSX;

    (2) 检查口令策略是否符合要求,并正确设置;
    (3) 根据访问需求设置“/secure”文件夹权限;
    (4) 正确部署登录策略(包括 TTY 登录、远程登录、和 su 切换限制); 

    (5) 正确设置自动注销;
    (6) 正确限制 su 切换,仅限 wheel 组才能切换至 root; (7) 锁定账户文件防止被修改。 


    操作步骤

    步骤1. 安全管理账户:

    (1) 为 root 用户设置强密码:

    右击桌面,选择“打开终端”,依次输入下列命令 passwd root
    1qaz@WSX
    1qaz@WSX 

    (2) 找出 UID 为 0 的用户,并锁定

    在终端中依次输入下列命令
    cat/etc/passwd //发现UID为0的用户为testadmin

    passwd -l testadmin //锁定 testadmin 用户 

    (3) 创建/secure 文件夹的使用账户和组:

        在终端中依次输入下列命令
    

    groupadd develops
    useradd -g develops deadmin
    passwd deadmin
    zaq1@WSX
    zaq1@WSX //这里密码任意 

    步骤2. 文件系统安全管理:

    (1) 设置适当的用户文件权限:

       在终端中依次输入下列命令
    

    chown deadmin:develops /secure

    chmod 774 /secure 

    步骤3. 系统加固

    (1) 设置口令策略:在终端中依次输入下列命令

    cat /etc/login.defs
    vi /etc/login.defs修改如下行:
    PASS_MAX_DAYS 60
    PASS_MIN_DAYS 0
    PASS_MIN_LEN 8
    PASS_WARN_AGE 7 

    (2) 防止 TTY 登录,仅留 1,2 两个 TTY 登录入口

    在终端中输入下列命令
    vi /etc/inittab (按 i 进行编辑,qw 保存并推出) 注释如下行:

    #3:2345:respawn:/sbin/mingetty tty3

    #4:2345:respawn:/sbin/mingetty tty4

    #5:2345:respawn:/sbin/mingetty tty5

    #6:2345:respawn:/sbin/mingetty tty6 

    (3) 设置自动注销超时时间

    在终端中输入下列命令
    vi /etc/profile (按 i 进行编辑,qw 保存并推出) 在 HISTSIZE=1000 下面加入行:

    TMOUT=300 

    if [ -x /usr/bin/id ]; then
            USER="`id -un`"
            LOGNAME=$USER
            MAIL="/var/spool/mail/$USER"
    fi
    
    HOSTNAME=`/bin/hostname`
    HISTSIZE=1000
    TMOUT=300

    (4) 防止任意用户使用 su 切换到 root

    在终端中输入下列命令
    vi /etc/pam.d/su (按 i 进行编辑,qw 保存并推出) 在头部加入行:

    auth required pam_wheel.so group=wheel 

    #%PAM-1.0
    auth            sufficient      pam_rootok.so
    # Uncomment the following line to implicitly trust users in the "wheel" group.
    #auth           sufficient      pam_wheel.so trust use_uid
    # Uncomment the following line to require a user to be in the "wheel" group.
    #auth           required        pam_wheel.so use_uid
    auth            required        pam_wheel.so group=wheel
    auth            include         system-auth
    account         sufficient      pam_succeed_if.so uid = 0 use_uid quiet
    account         include         system-auth
    password        include         system-auth
    session         include         system-auth
    session         optional        pam_xauth.so

    (5) 防止 root 用户远程登录 

    在终端中输入下列命令
    vi /etc/ssh/sshd_config (按 i 进行编辑,qw 保存并推出) 修改如下行:

    PermitRootLogin no 

    #LoginGraceTime 2m
    PermitRootLogin no
    #StrictModes yes
    #MaxAuthTries 6

    (6) 锁定账户文件:

       在终端中依次输入下列命令
    

    chattr +i /etc/passwd

    chattr +i /etc/shadow

    chattr +i /etc/gshadow

    chattr +i /etc/group

    [root@localhost ~]# chattr +i /etc/passwd
    [root@localhost ~]# chattr +i /etc/shadow
    [root@localhost ~]# chattr +i /etc/group
    [root@localhost ~]# chattr +i /etc/gshadow
  • 相关阅读:
    Quicksum -SilverN
    uva 140 bandwidth (好题) ——yhx
    uva 129 krypton factors ——yhx
    uva 524 prime ring problem——yhx
    uva 10976 fractions again(水题)——yhx
    uva 11059 maximum product(水题)——yhx
    uva 725 division(水题)——yhx
    uva 11853 paintball(好题)——yhx
    uva 1599 ideal path(好题)——yhx
    uva 1572 self-assembly ——yhx
  • 原文地址:https://www.cnblogs.com/tdcqma/p/5439139.html
Copyright © 2011-2022 走看看