1、精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)1概述1.1適用范圍本方案適用于銀視通信息科技有限公司linux主機安全加固，供運維人員參考對linux主機進(jìn)行安全加固。2用戶賬戶安全加固2.1修改用戶密碼策略（1）修改前備份配置文件：/etc/login.defscp /etc/login.defs /etc/login.defs.bak（2）修改編輯配置文件：vi /etc/login.defs，修改如下配置：PASS_MAX_DAYS 90 （用戶的密碼不過期最多的天數(shù)）PASS_MIN_DAYS 0 （密碼修改之間最小的天數(shù)）PASS_MIN_LEN 8 （密碼最小長度）PASS_WARN_

2、AGE 7 (口令失效前多少天開始通知用戶更改密碼)（3）回退操作# cp /etc/login.defs.bak /etc/login.defs2.2鎖定或刪除系統(tǒng)中與服務(wù)運行，運維無關(guān)的的用戶（1）查看系統(tǒng)中的用戶并確定無用的用戶# more /etc/passwd（2）鎖定不使用的賬戶（鎖定或刪除用戶根據(jù)自己的需求操作一項即可）鎖定不使用的賬戶：# usermod -L username 或刪除不使用的賬戶：# userdel -f username（3）回退操作用戶鎖定后當(dāng)使用時可解除鎖定，解除鎖定命令為：# usermod -U username2.3鎖定或刪除系統(tǒng)中不使用的組（1）

3、操作前備份組配置文件/etc/group# cp /etc/group /etc/group.bak（2）查看系統(tǒng)中的組并確定不使用的組# cat /etc/group（3） 刪除或鎖定不使用的組鎖定不使用的組：修改組配置文件/etc/group，在不使用的組前加“#”注釋掉該組即可刪除不使用的組：# groupdel groupname（4）回退操作# cp /etc/group.bak /etc/group2.4限制密碼的最小長度（1） 操作前備份組配置文件/etc/pam.d/system-auth# cp /etc/pam.d /etc/pam.d.bak（2） 設(shè)置密碼的最小長度為8

4、修改配置文件/etc/pam.d,在行”password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=”中添加“minlen=8”，或使用sed修改：# sed -i "s#password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=#password requisite pam_pwquality.so try_first_pass local_use

5、rs_only retry=3 minlen=8 authtok_type=#g" /etc/pam.d/system-auth（3） 回退操作# cp /etc/pam.d.bak /etc/pam.d3用戶登錄安全設(shè)置3.1禁止root用戶遠(yuǎn)程登錄（1）修改前備份ssh配置文件/etc/ssh/sshd_conf# cp /etc/ssh/sshd_conf /etc/ssh/sshd_conf.bak（2）修改ssh服務(wù)配置文件不允許root用戶遠(yuǎn)程登錄編輯/etc/ssh/sshd_config找到“#PermitRootLogin yes”去掉注釋并修改為“PermitRo

6、otLogin no”或者使用sed修改，修改命令為：# sed -i "s#PermitRootLogin yesPermitRootLogin nog" /etc/ssh/sshd_config（3）修改完成后重啟ssh服務(wù)Centos6.x為：# service sshd restartCentos7.x為：# systemctl restart sshd.service（4）回退操作# cp /etc/ssh/sshd_config.bak /etc/ssh/sshd_config3.2設(shè)置遠(yuǎn)程ssh登錄超時時間（1）修改前備份ssh服務(wù)配置文件/etc/ssh/s

7、shd_config# cp /etc/ssh/sshd_conf /etc/ssh/sshd_conf.bak（2）設(shè)置遠(yuǎn)程ssh登錄長時間不操作退出登錄編輯/etc/ssh/sshd_conf將”#ClientAliveInterval 0”修改為”ClientAliveInterval 180”，將”#ClientAliveCountMax 3”去掉注釋，或執(zhí)行如下命令：# sed -i "s#ClientAliveInterval 0ClientAliveInterval 180g" /etc/ssh/sshd_config# sed -i "s#Clie

8、ntAliveCountMax 3ClientAliveCountMax 3g" /etc/ssh/sshd_config （3）配置完成后保存并重啟ssh服務(wù)Centos6.x為：# service sshd restartCentos7.x為：# systemctl restart sshd.service（4）回退操作# cp /etc/ssh/sshd_config.bak /etc/ssh/sshd_config3.3設(shè)置當(dāng)用戶連續(xù)登錄失敗三次，鎖定用戶30分鐘（1）配置前備份配置文件/etc/pam.d/sshd# cp /etc/pam.d/sshd /etc/pam.

9、d/sshd.bak（2）設(shè)置當(dāng)用戶連續(xù)輸入密碼三次時，鎖定該用戶30分鐘修改配置文件/etc/pam.d/sshd,在配置文件的第二行添加內(nèi)容:auth required pam_tally2.so deny=3 unlock_time=300（3）若修改配置文件出現(xiàn)錯誤，回退即可，回退操作：# cp /etc/pam.d/sshd.bak /etc/pam.d/sshd3.4設(shè)置用戶不能使用最近五次使用過的密碼（1）配置前備份配置文件/etc/pam.d/sshd# cp /etc/pam.d/system-auth /etc/pam.d/system-auth.bak（2）配置用戶不能使

10、用最近五次使用的密碼修改配置文件/etc/pam.d/sshd,找到行”password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok”，在最后加入remember=10，或使用sed修改# sed -i "s#password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtokpassword sufficient pam_unix.so sha512 shadow nullok try_first

11、_pass use_authtok remember=10g" /etc/ssh/sshd_config （3）回退操作# cp /etc/pam.d/sshd.bak /etc/pam.d/sshd3.5設(shè)置登陸系統(tǒng)賬戶超時自動退出登陸（1）設(shè)置登錄系統(tǒng)的賬號長時間不操作時自動登出修改系統(tǒng)環(huán)境變量配置文件/etc/profile,在文件的末尾加入”TMOUT=180”,使登錄系統(tǒng)的用戶三分鐘不操作系統(tǒng)時自動退出登錄。 # echo TMOUT=180 >>/etc/profile（2）使配置生效執(zhí)行命令： # . /etc/profile#或 source /etc/p

12、rofile（3）回退操作刪除在配置文件”/etc/profile”中添加的”TMOUT=180”，執(zhí)行命令. /etc/profile使配置生效。4系統(tǒng)安全加固4.1關(guān)閉系統(tǒng)中與系統(tǒng)正常運行、業(yè)務(wù)無關(guān)的服務(wù)（1）查看系統(tǒng)中的所有服務(wù)及運行級別，并確定哪些服務(wù)是與系統(tǒng)的正常運行及業(yè)務(wù)無關(guān)的服務(wù)。# chkconfig -list （2）關(guān)閉系統(tǒng)中不用的服務(wù)# chkconfig servername off（3）回退操作，如果意外關(guān)閉了與系統(tǒng)業(yè)務(wù)運行相關(guān)的服務(wù)，可將該服務(wù)開啟# chkconfig servername on4.2禁用“CTRL+ALT+DEL”重啟系統(tǒng)（1）rhel6.x中禁

13、用“ctrl+alt+del”鍵重啟系統(tǒng)修改配置文件“/etc/init/control-alt-delete.conf”，注釋掉行“start on control-alt-delete ”。或用sed命令修改：# sed -i "sstart on control-alt-delete#start on control-alt-deleteg" /etc/init/control-alt-delete.conf （2）rhel7.x中禁用“ctrl+alt+del”鍵重啟系統(tǒng)修改配置文件“/usr/lib/systemd/system/ctrl-alt-del

14、.target”，注釋掉所有內(nèi)容。（3）使修改的配置生效# init q4.3加密grub菜單1、 加密Redhat6.x grub菜單（1） 備份配置文件/boot/grub/grub.conf# cp /boot/grub/grub.conf /boot/grub/grub.conf.bak（2） 將密碼生成秘鑰# grub-md5-crypt Password: Retype password: $1$nCPeR/$mUKEeqnBp8G.P.Hrrreus.（3） 為grub加密修改配置文件/boot/grub/grub.conf,在”timeout=5”行下加入”password -md5 $1$CgxdR/$9ipaqi8aVriEpF0nvfd8x.”，”$1$CgxdR/$9ipaqi8aVriEpF0nvfd8x.”為加密后的密碼。（4） 回退# cp /boot/grub/grub.conf /boot/grub/grub.conf.bak或者刪除加入行”password -md5 $1$CgxdR/$9ipaqi8aVriEpF0nvfd8x.”2、加密redha