前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >Linux基线加固

Linux基线加固

作者头像
信安之路
发布于 2018-08-08 02:56:34
发布于 2018-08-08 02:56:34
3.3K01
代码可运行
举报
文章被收录于专栏:信安之路信安之路
运行总次数:1
代码可运行

主机安全的风险级别除了漏洞,另一个重要的参考值是安全基线的风险分值,本次介绍的主要是结合目前公司的业务实际情况制作的一份安全基线脚本,供大家进行参考。

适用环境

适用环境:RedHat系统Linux

注意

在配置系统基线测试之前,虚拟机一定要提前制作快照,配置测试期间尽量不要退出登录状态,以便出现差错的时候能够及时回退。

基线配置内容

/etc/pam.d/system-auth

是用户使用pam认证模块的登录策略配置文件,配置用户密码的复杂度、登录失败暂锁、重复使用密码次数等都是配置此文件。

密码复杂度是在password验证类型中调用pam_cracklib.so动态链接库:
代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
password    required      pam_cracklib.so  try_first_pass minlen=8 ucredit=-1   lcredit=-1   ocredit=-1 dcredit=-1 retry=3 difok=5
登录失败暂锁机制是在auth和account验证类型中调用pam_tally.so动态链接库,此外,针对远程登录的设置可在/etc/pam.d/sshd配置文件中做同样的配置:
代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
auth        required      pam_tally.so deny=5 unlock_time=600 even_deny_root root_unlock_time=600
account     required      pam_tally.so
密码重复使用次数在password验证类型调用pam_unix.so链接库:
代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
password    sufficient    pam_unix.so remember=5
设置登录超时退出机制需要在/etc/profile文件中添加TMOUT值的设置:

/etc/login.defs

文件是配置用户密码策略的,基线检查项中包括密码的时效性及默认访问权限两项。

密码时效性按照要求需满足最小长度8位、最大使用时间90天、最小使用天数6天、提醒时间为30天,也可根据实际需求自定义:
默认访问权限修改:
对重要文件目录权限的设置:

在这里遇到了一个最大的坑,在修改/etc目录的权限后,导致了系统无法登陆,之后查看应用日志才发现,系统启用了nscd服务的原因,具体原因无法确定,但是根据nscd服务的作用是缓存passwd、group、hosts三种服务加快解析,可能原因是用户登录时认证先通过nscd服务缓存,但是nscd服务进程因权限设置无法读取/etc/group和/etc/passwd导致。

登录时提示connect reset by perr是/etc/ssh/下的key文件权限过大导致:
提示No user exists for uid 0,则是nscd服务进程无法读取/etc/passwd文件的原因,关闭nscd服务并禁止自启动则行:
设置用户umask为077:
ssh登录设置告警banner
FTP安全设置,禁止匿名登录、禁止root登录、删除ftp账户登录系统
设置重要的文件属性放篡改:
设置日志审计检查:

首先需要安装syslog或者rsyslog或者syslog-ng三个服务中的一个,然后需要保证创建了/var/log/cron、/var/adm/messages文件。

在/etc/rsyslog.conf或/etc/syslog.conf配置文件中添加:
在/etc/syslog-ng/syslog-ng.conf配置文件中添加:
禁止wheel组以外的用户su为root,在/etc/pam.d/su文件内开头添加:
代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
auth            sufficient      pam_rootok.so
auth            required        pam_wheel.so group=wheel
关闭不必要的服务与端口:

ntalk、lpd、kshell、time、sendmail、klogin、printer、nfslock、echo、discard、chargen、bootps、daytime、tftp、ypbind、ident

设置core dump

删除潜在危险文件hosts.equiv、.rhosts、.netrc

设置系统的内核参数:

检查修改suid和sgid权限文件:

加固脚本:

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2017-07-31,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 信安之路 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
安全服务之安全基线及加固(二)Linux篇
安全服务工程师大家应该都知道,对于他的岗位职责你可能会说不就是渗透测试啊、应急响应嘛.....实际上正式一点的企业对于安服的要求是包括了漏洞扫描、安全基线检查、渗透测试、安全加固、日志分析、恶意代码检查、应急响应、安全加固等差不多十个方面的内容的。内容多吗?我也觉得多!
Power7089
2020/07/27
11.4K0
安全服务之安全基线及加固(二)Linux篇
【实用工具】Linux&Windows基线检查加固脚本
最近在做系统安全基线检查相关的,网上找了一些脚本以及群友分享的。整理下分享给大家:
释然IT杂谈
2022/10/27
6.2K0
【实用工具】Linux&Windows基线检查加固脚本
Linux下PAM模块学习总结
在Linux中执行有些程序时,这些程序在执行前首先要对启动它的用户进行认证,符合一定的要求之后才允许执行,例如login, su等。在Linux中进行身份或是状态的验证程序是由PAM来进行的,PAM(Pluggable Authentication Modules)可动态加载验证模块,因为可以按需要动态的对验证的内容进行变更,所以可以大大提高验证的灵活性。 一、PAM模块介绍 Linux-PAM(即linux可插入认证模块)是一套共享库,使本地系统管理员可以随意选择程序的认证方式。换句话说,不用(重新编写)
洗尽了浮华
2018/04/11
5.9K0
Linux下PAM模块学习总结
linux安全基线配置全解析(付脚本)
现在大多数企业都是使用linux作为服务器,不仅是linux是开源系统,更是因为linux比windows更安全。但是由于管理员的安全意识不全或者疏忽,导致linux的敏感端口和服务没有正确的配置,可能会被恶意利用,所以需要进行基线加固。
IT运维技术圈
2022/10/24
3.1K0
Centos7 服务器基线检查处理汇总
LANG="en_us-utf-8" service rpcbind status
跟着飞哥学编程
2023/03/09
4.3K0
Centos7 服务器基线检查处理汇总
Linux安全运维加公配置.md
描述:Linux系统加固往往是下面几个方面入手,配置完成后将大大的提升机器的安全性,同时满足等保合规的要求;
全栈工程师修炼指南
2020/10/23
4K0
Linux安全运维加公配置.md
Ubuntu安全基线检查
描述 设置密码失效时间,强制定期修改密码,减少密码被泄漏和猜测风险,使用非密码登录方式(如密钥对)请忽略此项。 加固建议 使用非密码登录方式如密钥对,请忽略此项。在 /etc/login.defs中将 PASS_MAX_DAYS 参数设置为 60-180之间,如:
咻一咻
2020/05/29
2.3K0
Linux之PAM系统模块详解说明
[TOC] 0x00 前言介绍 Q:什么是PAM? 答:PAM 的全称为可插拔认证模块(Pluggable Authentication Modules:简称 PAM /pæm/ ),Linux中的一
全栈工程师修炼指南
2020/10/26
13.9K2
Linux 操作系统加固
本文旨在指导系统管理人员或安全检查人员进行Linux操作系统的安全合规性检查和加固。
杰哥的IT之旅
2021/01/25
4.8K0
腾讯云上的服务器安全加固
安全加固是企业安全中及其重要的一环,其主要内容包括账号安全、认证授权、协议安全、审计安全四项,今天了解一下购买了腾讯云上的Linux的系统如何加固(CentOS)。
用户8639654
2021/08/03
7.8K0
六招轻松搞定你的CentOS系统安全加固 原
Redhat是目前企业中用的最多的一类Linux,而目前针对Redhat攻击的黑客也越来越多了。我们要如何为这类服务器做好安全加固工作呢?
拓荒者
2019/03/21
1.9K0
等保2.0-身份鉴别
本文为joshua317原创文章,转载请注明:转载自joshua317博客 https://www.joshua317.com/article/122
joshua317
2021/09/14
1.1K0
Cenos安全配置之身份识别相关
查看账户、口令文件、与系统管理员确认不必要的账户。对于一些保留的系统伪账户如:bin,sys,adm,uucp,lp,nuucp,hpdb,www,daemon等可根据需求锁定登陆
释然IT杂谈
2020/06/12
2.8K0
简单的LNMP安全加固
Nginx配置文件 (nginx.conf):/usr/local/nginx/nginx.conf
Mirror王宇阳
2020/11/12
8680
linux修改密码策略
对于用户账户的管理是系统管理员最重要的工作之一。尤其是,对于任何自称安全的linux系统,最受关心的应该是密码安全问题。在本教程中,我将介绍如何在linux上设置严密的密码策略。
全栈程序员站长
2022/10/04
8.2K0
HPC集群公网开放安全加固和资源显示
[root@node24 ~]# cat /etc/passwd | tail -31 | awk -F":" '{print $1}' >> user
星哥玩云
2022/07/04
4970
Linux强化论:15步打造一个安全的Linux服务器
可能大多数人都觉得Linux是安全的吧?但我要告诉你,这种想法绝对是错误的!假设你的笔记本电脑在没有增强安全保护的情况下被盗了,小偷首先就会尝试用“root”(用户名)和“toor”(密码)来登录你的电脑,因为这是KaliLinux的默认用户名和密码,而大多数人仍然会继续使用它们。你是否也是这样?我希望你不是!
释然IT杂谈
2020/05/11
9840
Linux——配置漏洞修复
思索
2024/08/16
5480
ubuntu密码设置规则_密码复杂性策略
将默认配置注释掉,添加一行新的配置,默认的配置为允许root登录,但是禁止root用密码登录
全栈程序员站长
2022/11/10
4K0
ubuntu密码设置规则_密码复杂性策略
【愚公系列】《网络安全应急管理与技术实践》 022-网络安全应急技术与实践(主机层-Linux 检查演练)
Linux检查演练是指对Linux系统进行全面的检查和测试,以确保系统的正常运行和安全性。以下是一些常见的Linux检查演练步骤:
愚公搬代码
2024/09/22
1620
相关推荐
安全服务之安全基线及加固(二)Linux篇
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档