Linux 系统主机安全加固

Linux主机安全加固V1.0hk有限公司二零一五年二月文件编号：DOC-2016当前版本：1.0保管：密级：秘密(HK有限公司)完成日期：2016-06一、修改密码策略1、cp/etc/login.defs/etc/login.defs.bak2、vi/etc/login.defsPASS_MAX_DAYS90（用户的密码不过期最多的天数）PASS_MIN_DAYS0（密码修改之间最小的天数）PASS_MIN_LEN8（密码最小长度）PASS_WARN_AGE7(口令失效前多少天开始通知用户更改密码)按要求修改这几个密码选项，修改完之后保存（：wq!）退出即可。二、查看系统是否已设定了正确UMASK值（022）1、用命令umask查看umask值是否是022，如果不是用下面命令进行修改：cp/etc/profile/etc/profile.bakvi/etc/profile找到umask022，修改这个数值即可。三、锁定系统中不必要的系统用户和组1、cp/etc/passwd/etc/passwd.bakcp/etc/shadow/etc/shadow.bak锁定下列用户2、foriinadmlpsyncnewsuucpgamesftprpcrpcusernfsnobodymailnullgdmdousermod-L$idone3、检查是否锁定成功more/etc/shadow如：lp:!*:15980:0:99999:7:::lp帐户后面有！号为已锁定。4、禁用无关的组：备份：cp/etc/group/etc/group.bak5、编辑：vi/etc/group在组前面加#进行注释参考下面#lp:x:7:daemon,lp#uucp:x:14:uucp#games:x:20:#ftp:x:50:#rpc:x:32:#rpcuser:x:29:#nfsnobody:x:65534:#mailnull:x:47:#gdm:x:42:6、禁止root用户远程登录cp/etc/ssh/sshd_config/etc/ssh/sshd_config.bakvi/etc/ssh/sshd_config文件，将其中的PermitRootLogin改成no，然后重新启动ssh服务/etc/init.d/sshdrestart四、linux中预防SYNflood1、备份cp/etc/sysctl.conf/etc/sysctl.conf.bak2、编辑vi/etc/sysctl.conf3、添加net.ipv4.tcp_syncookies=14、保存退出5、/sbin/sysctl-p命令使变更生效五、ARP捆绑IP1、确认网关IP和mac地址是正确的2.查看arp-a3.echo'27.152.190.199b8:88:e3:fa:b9:8f'/etc/ethers4.捆绑arp-f5、对比例子：（请参考系统运行的实际情况）捆绑前root@web1etc]#arp-a?(27.152.190.199)atb8:88:e3:fa:b9:8f[ether]onem1捆绑后?(27.152.190.199)atb8:88:e3:fa:b9:8f[ether]PERMonem16、设置开机捆绑MAC备份开机自启动服务文件cp/etc/rc.d/rc.local/etc/rc.d/rc.local.bak编辑vi/etc/rc.d/rc.local添加arp–f六、停止无用服务注意：需要根据系统的实际情况和询问管理员哪些服务跟业务无关方可停用。foriinautofschargenchargen-udpgpmip6tablesisdnkudzuxinetdnfsnfslockpcmciarhnsddochkconfig--level2345$ioffservice$istopdone启动审计服务foriinauditdochkconfig--level2345$ionservice$istartdone七、系统禁用X-Window系统1、编辑：cp/etc/inittab/etc/inittab.bakvi/etc/inittabid:5:initdefault：将数值5改为3即可。八、残留信息保护（使.bash_history值保存30个命令，用户退出是自动删除.bash_history文件）1、备份：cp/etc/profile/etc/profile.bak2、编辑vi/etc/profileHISTFILESIZE=30（如果没有请自行添加）修改保存值为30HISTSIZE=30修改保存值为303、退出后自动删除个用户的“.bash_history”文件备份：cp/etc/skel/.bash_logout/etc/skel/.bash_logout.bak编辑：vi/etc/skel/.bash_logout在后面添加rm-f$HOME/.bash_historymore/etc/sysctl.conf九、查看/tmp和/var/tmp目录具有粘滞位1、查看，例如：ls-al/|greptmpdrwxrwxrwt7root2、修改：chmod+t/tmpchmod+t/var/tmp十、加固TCP/IP协议栈1、系统当前状态more/etc/sysctl.conf检查/etc/sysctl.conf是否存在以下内容：net.ipv4.tcp_max_syn_backlog=4096net.ipv4.conf.all.rp_filter=1net.ipv4.conf.all.accept_source_route=0net.ipv4.conf.all.accept_redirects=0net.ipv4.conf.all.secure_redirects=0net.ipv4.conf.default.rp_filter=1net.ipv4.conf.default.accept_source_route=0net.ipv4.conf.default.accept_redirects=0net.ipv4.conf.default.secure_redirects=02、Vi/etc/sysctl.conf文件添加或修改下列值。net.ipv4.tcp_max_syn_backlog=4096net.ipv4.conf.all.rp_filter=1net.ipv4.conf.all.accept_source_route=0net.ipv4.conf.all.accept_redirects=0net.ipv4.conf.all.secure_redirects=0net.ipv4.conf.default.rp_filter=1net.ipv4.conf.default.accept_source_route=0net.ipv4.conf.default.accept_redirects=0net.ipv4.conf.default.secure_redirects=0chownroot:root/etc/sysctl.confchmod0600/etc/sysctl.confsysctl–p/etc/sysctl.conf注意：修改前请备份/etc/sysctl.conf文件，如果对上面参数不清楚的请找相关资料了解。这些参数应依据实际业务的需要来微调，具体请咨询厂商与业务开发商。十一、系统重要文件访问权限是否为644或600一般检查/etc/passwd、/etc/shadow文件默认配置如下（可参照此）：#ls-al/etc/passwd/etc/shadow修改方法：chmod644/etc/shadowChmod600/etc/passwd十二、系统是否启用安全审计用命令查看chkconfig--list|grepauditd例如：[root@linux~]#chkconfig--list|grepauditdauditd0:off1:off2:on3:off4:on5:off6:offroot@linux~]#serviceauditdstatusauditdisstopped[root@linux~]#serviceauditdrestartStartingauditd:[OK][root@linux~]#serviceauditdstatusauditd(pid32217)isrunning...chkconfig--list|grepauditdauditd0:off1:off2:on3:on4:on5:on6:off十三、安全审计启用计策略，一般对系统的登陆、退出、创建/删除目录、修改密码、添加组、计划任务，添加完策略后需重启这个服务：serviceauditdrestart范例：more/etc/audit/audit.rules#Enableauditing-e1##loginconfigurationandinformation-w/etc/login.defs-pwa-kCFG_login.defs-w/etc/securetty-pwa-kCFG_securetty-w/var/log/faillog-pwa-kLOG_faillog-w/var/log/lastlog-pwa-kLOG_lastlog-w/var/log/tallylog-pwa-kLOG_tallylog##directoryoperations#-aentry,always-Smkdir-Smkdirat-Srmdir##cronconfiguration&scheduledjobs-w/etc/cron.allow-pwa-kCFG_cron.allow-w/etc/cron.deny-pwa-kCFG_cron.deny-w/etc/cron.d/-pwa-kCFG_cron.d-w/etc/cron.daily/-pwa-kCFG_cron.daily-w/etc/cron.hourly/-pwa-kCFG_cron.hourly-w/etc/cron.monthly/-pwa-kCFG_cron.monthly-w/etc/cron.weekly/-pwa-kCFG_cron.weekly-w/etc/crontab-pwa-kCFG_crontab-w/var/spool/cron/root-kCFG_crontab_root##user,group,passworddatabases-w/etc/group-pwa-kCFG_group-w/etc/passwd-pwa-kCFG_passwd-w/etc/gshadow-kCFG_gshadow-w/etc/shadow-kCFG_shadow-w/etc/security/opasswd-kCFG_opasswd#-----FileSystemauditrules-----#Addawatchonpasswdwiththearbitraryfilterkeyfk_passwdthat#generatesrecordsforreads,writes,executes,andappendsonpasswd-w/etc/passwd-kfk_passwd-prwxa#AddawatchshadowwithaNULLfilterkeythathaspermissions#filteringturnedoff-w/etc/shadow警告：如果在运行守护进程时添加规则/etc/audit/audit.rules，则一定要以根用户身份用serviceauditdrestart命令启用修改。