Loading [MathJax]/jax/output/CommonHTML/config.js
前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >Linux基线加固

Linux基线加固

作者头像
信安之路
发布于 2018-08-08 02:56:34
发布于 2018-08-08 02:56:34
3.3K00
代码可运行
举报
文章被收录于专栏:信安之路信安之路
运行总次数:0
代码可运行

主机安全的风险级别除了漏洞,另一个重要的参考值是安全基线的风险分值,本次介绍的主要是结合目前公司的业务实际情况制作的一份安全基线脚本,供大家进行参考。

适用环境

适用环境:RedHat系统Linux

注意

在配置系统基线测试之前,虚拟机一定要提前制作快照,配置测试期间尽量不要退出登录状态,以便出现差错的时候能够及时回退。

基线配置内容

/etc/pam.d/system-auth

是用户使用pam认证模块的登录策略配置文件,配置用户密码的复杂度、登录失败暂锁、重复使用密码次数等都是配置此文件。

密码复杂度是在password验证类型中调用pam_cracklib.so动态链接库:
代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
password    required      pam_cracklib.so  try_first_pass minlen=8 ucredit=-1   lcredit=-1   ocredit=-1 dcredit=-1 retry=3 difok=5
登录失败暂锁机制是在auth和account验证类型中调用pam_tally.so动态链接库,此外,针对远程登录的设置可在/etc/pam.d/sshd配置文件中做同样的配置:
代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
auth        required      pam_tally.so deny=5 unlock_time=600 even_deny_root root_unlock_time=600
account     required      pam_tally.so
密码重复使用次数在password验证类型调用pam_unix.so链接库:
代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
password    sufficient    pam_unix.so remember=5
设置登录超时退出机制需要在/etc/profile文件中添加TMOUT值的设置:

/etc/login.defs

文件是配置用户密码策略的,基线检查项中包括密码的时效性及默认访问权限两项。

密码时效性按照要求需满足最小长度8位、最大使用时间90天、最小使用天数6天、提醒时间为30天,也可根据实际需求自定义:
默认访问权限修改:
对重要文件目录权限的设置:

在这里遇到了一个最大的坑,在修改/etc目录的权限后,导致了系统无法登陆,之后查看应用日志才发现,系统启用了nscd服务的原因,具体原因无法确定,但是根据nscd服务的作用是缓存passwd、group、hosts三种服务加快解析,可能原因是用户登录时认证先通过nscd服务缓存,但是nscd服务进程因权限设置无法读取/etc/group和/etc/passwd导致。

登录时提示connect reset by perr是/etc/ssh/下的key文件权限过大导致:
提示No user exists for uid 0,则是nscd服务进程无法读取/etc/passwd文件的原因,关闭nscd服务并禁止自启动则行:
设置用户umask为077:
ssh登录设置告警banner
FTP安全设置,禁止匿名登录、禁止root登录、删除ftp账户登录系统
设置重要的文件属性放篡改:
设置日志审计检查:

首先需要安装syslog或者rsyslog或者syslog-ng三个服务中的一个,然后需要保证创建了/var/log/cron、/var/adm/messages文件。

在/etc/rsyslog.conf或/etc/syslog.conf配置文件中添加:
在/etc/syslog-ng/syslog-ng.conf配置文件中添加:
禁止wheel组以外的用户su为root,在/etc/pam.d/su文件内开头添加:
代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
auth            sufficient      pam_rootok.so
auth            required        pam_wheel.so group=wheel
关闭不必要的服务与端口:

ntalk、lpd、kshell、time、sendmail、klogin、printer、nfslock、echo、discard、chargen、bootps、daytime、tftp、ypbind、ident

设置core dump

删除潜在危险文件hosts.equiv、.rhosts、.netrc

设置系统的内核参数:

检查修改suid和sgid权限文件:

加固脚本:

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2017-07-31,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 信安之路 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
宋宝华:LEP ( Linux 易用剖析器) 是什么,为什么以及怎么办 ( 2 )
本文介绍了Linux平台上一个名为“Linux易用剖析器(LEP)”的剖析工具,用于分析Linux应用程序的性能。LEP通过记录和分析系统调用、进程状态、内存使用、I/O操作等方面的信息,帮助开发人员诊断和解决Linux应用程序的性能问题。
Linuxer
2017/10/31
1.5K0
宋宝华:LEP ( Linux 易用剖析器)  是什么,为什么以及怎么办 ( 2 )
宋宝华:为了不忘却的纪念,评Linux 5.13内核(上集)
5.14-rc6了,看起来5.14也快发布了。而我5.13的总结还没有写出,我早觉得有写一点东西的必要了,这虽然于搬砖的码农毫不相干,但在追求上进的工程师那里,却大抵只能如此而已。为了不忘却的纪念,我们列出5.13内核的10个激动人心的新特性。上集先谈4个:
Linux阅码场
2021/08/26
7650
宋宝华:为了不忘却的纪念,评Linux 5.13内核
Linux 5.14于14小时之前发布了,而我5.13的总结还没有写出,我早觉得有写一点东西的必要了,这虽然于搬砖的码农毫不相干,但在追求进步的工程师那里,却大抵只能如此而已。为了不忘却的纪念,我们列出5.13内核的数个激动人心的新特性:
Linux阅码场
2021/09/18
1.5K0
宋宝华:为了不忘却的纪念,评Linux 5.13内核
【玩转服务器】Linux服务器内存占用高排查方法
使用free命令可以查看系统的内存使用情况,包括总内存、已用内存、空闲内存等信息。
参谋带个长
2024/03/06
4.5K0
这 30 个工具和服务可以更好地监控和管理 Linux 服务器,很全面!
Linux 服务器的监控是确保其运行正常和高效的关键。在这篇文章中,我们将介绍 30 个有趣的工具和服务,帮助您更好地监控和管理您的 Linux 服务器。这些工具和服务涵盖了各种不同的方面,包括系统性能监控、日志分析、网络流量分析和安全性等。下面就让我们来一一了解它们吧!
网络技术联盟站
2023/05/03
9K0
这 30 个工具和服务可以更好地监控和管理 Linux 服务器,很全面!
系统管理员必备,服务器监控的轻量级工具你知道哪些?
服务器监控工具对于IT基础架构性能、可视化和系统稳定至关重要。合适的工具能够帮助系统管理员面对服务器故障、应用缓慢、停机、内存泄露和配置依赖等挑战。
用户7261497
2020/09/03
2.4K0
系统管理员必备,服务器监控的轻量级工具你知道哪些?
宋宝华:那些年你误会的Linux DMA(关于Linux DMA ZONE和API最透彻的一篇)
互联网、Linux内核书籍上充满了各种关于Linux DMA ZONE和dma_alloc_coherent、dma_map_single等的各种讲解,由于很多童鞋缺乏自身独立的思考,人云亦云,对这些概念形成了很多错误的理解。本文的目的在于彻底澄清这些误解。
Linux阅码场
2019/12/10
9.2K0
宋宝华:那些年你误会的Linux DMA(关于Linux DMA ZONE和API最透彻的一篇)
同样学习Linux, 为何差别这么大? - 论打通Linux进程和内存管理任督二脉
我在多年的工程生涯中发现很多工程师碰到一个共性的问题:Linux工程师很多,甚至有很多有多年工作经验,但是对一些关键概念的理解非常模糊,比如不理解CPU、内存资源等的真正分布,具体的工作机制,这使得他们对很多问题的分析都摸不到方向。比如进程的调度延时是多少?Linux能否硬实时?多核下多线程如何执行?系统的内存究竟耗到哪里去了?我写的应用程序究竟耗了多少内存?什么是内存泄漏,如何判定内存是否真的泄漏?CPU速度、内存大小和系统性能的关联究竟是什么?内存和I/O存在着怎样的千丝万缕的联系?
Linux阅码场
2019/07/08
1.4K0
宋宝华:火焰图 全局视野的 Linux 性能剖析
本文介绍了Linux性能剖析利器Flame Graph,从Flame Graph的原理、使用方式、案例以及更多的细节。
Linuxer
2017/11/21
2.4K0
宋宝华:火焰图 全局视野的 Linux 性能剖析
不知道Linux文件系统是怎么工作的?详解来了
文件系统,本身是对存储设备上的文件,进行组织管理的机制。组织方式不同,就会形成不同的文件系统。
用户8639654
2021/08/27
1.4K0
我换了一圈儿,又回来了!
在我不算长也不算短的计算机从业生涯里,前前后后学习了Q-Basic、VisualFoxPro、C语言、C++、Objective-C、Python、Java、JavaScript、TypeScript等多种编程语言。
轩辕之风
2022/12/07
2730
SGADC2019 | 华为专家重磅解读DevEco Studio,这3大核心服务值得特别关注
HUAWEI DevEco Studio构建了一整套健全的测试服务,包含多种华为通过全球服务经验所积累的特有测试能力,如DFX诊断、多语言测试、安全测试等。本文根据华为专家熊小勇在2019年11月19日软件绿色联盟开发者大会发表的《开发者云测服务》主题演讲整理而成,会重点介绍华为DevEco平台及框架,包括绿标3.0测试、DFX问题定位能力、远程真机、质量数据分析服务等内容。详细解读如下。
软件绿色联盟
2022/03/31
1.7K0
SGADC2019 | 华为专家重磅解读DevEco Studio,这3大核心服务值得特别关注
记一次openssl使用不当引发的内存泄漏
前言:本文记录一起第三方库使用不当引发的内存泄漏的定位过程。在日常工作中新写服务或者代码引发的内存泄漏还是相对较好定位的,因为这种情况下改动范围相对明确。但有时候也会面临从未动过的服务发生内存泄漏,这意味着这个服务很早就引入了内存泄漏,引发内存泄漏的范围相当不聚焦,这个时候很多同学就不知道如何下手。本文主要展现:①展现面对内存泄漏问题的定位及思考过程 ②综合利用wiresharks、jmeter等工具进行效果验证。
鹅厂老五
2024/06/16
6791
[C语言]内存泄漏问题Out Of Memory
上述代码在申请一段内存后直接返回,这样申请到的这块内存在代码中再也没有机会释放掉了,这就是内存泄漏。 内存泄漏是一类极为常见的问题,尤其对于不支持自动垃圾回收的语言来说,但并不是说自带垃圾回收的语言像 Java 等就不会有内存泄漏,这类语言同样会遇到内存泄漏问题。 有内存泄漏问题的程序会不断的申请内存,但不去释放,这会导致进程的堆区越来越大直到进程被操作系统 Kill 掉,在 Linux 系统中这就是有名的 OOM 机制,Out Of Memory Killer。
唯一Chat
2021/03/09
9510
AK47所向披靡,内存泄漏一网打尽
青囊,喜欢运动T恤加皮裤的非典型程序猿。此时,他正目不转睛注视着屏幕上一行行的代码,内存泄漏这个问题已经让他茶饭不思两三天了,任凭偌大的雨滴捶打着窗户也无动于衷。就这么静悄悄地过了一会儿,突然间,他哼着熟悉的小曲,仿佛一切来的又那么轻松又惬意。
233333
2021/06/10
7420
AK47所向披靡,内存泄漏一网打尽
KeyarchOS:全天候智能化运维,为企业增效降本
基于专家知识库形成运维工具,提升操作系统底层运维能力,具备高效自动化运维能力:通过监控、诊断、维护等达到全过程自动化运维。
知识浅谈
2023/12/06
4460
KeyarchOS:全天候智能化运维,为企业增效降本
Linux之《荒岛余生》(三)内存篇
内存问题,脑瓜疼脑瓜疼。脑瓜疼的意思,就是脑袋运算空间太小,撑的疼。本篇是《荒岛余生》系列第三篇,让人脑瓜疼的内存篇。其余参见:
xjjdog
2019/09/24
1.2K0
Linux之《荒岛余生》(三)内存篇
10 个内存引发的大坑,你能躲开几个?(2)
对程序员来说内存相关的 bug 排查难度几乎和多线程问题并驾齐驱,当程序出现运行异常时可能距离真正有 bug 的那行代码已经很远了,这就导致问题定位排查非常困难,这篇文章将总结涉及内存的一些经典 bug ,快来看看你知道几个,或者你的程序中现在有几个。。。
桶哥
2021/03/18
6710
10 个内存引发的大坑,你能躲开几个?(2)
拥抱云原生,腾讯发布TCSS容器安全服务!
随着企业上云步伐的加快,以容器、微服务及动态编排为代表的云原生技术为企业的业务创新带来了强大的推动力。然而,在容器应用环境中,由于共享操作系统内核,容器仅为运行在宿主机上的若干进程,其安全性特别是隔离性与传统虚拟机相比存在一定的差距。在应用容器和K8S过程中,近几年陆续爆出大量的基于容器平台的安全隐患,如何保障容器安全,已成为企业最关心的问题。
腾讯安全
2021/07/13
2.5K1
拥抱云原生,腾讯发布TCSS容器安全服务!
腾讯游戏社区 | Flutter全方位性能检测工具
团队:IEG用户发展中心-前端开发组 导语| 随着Flutter技术在跨端技术的普及与热门,越来越多的程序员都积极加入Flutter开发,越来越多的App都开始接入Flutter技术,甚至有些新的App采用纯Flutter技术开发。Flutter性能监控与检测俨然成为了大家最关心的事情,针对Flutter开发经验不一的问题,如何帮助新手开发快速发现问题,积累良好开发经验也是一件非常重要的事情。 愿景 在接入工具之前, 你是否也存在如下疑问呢? 工具接入后可以实现无痕检测吗? 发现问
腾讯大讲堂
2021/06/17
4.6K1
推荐阅读
相关推荐
宋宝华:LEP ( Linux 易用剖析器) 是什么,为什么以及怎么办 ( 2 )
更多 >
LV.0
这个人很懒,什么都没有留下~
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档
本文部分代码块支持一键运行,欢迎体验
本文部分代码块支持一键运行,欢迎体验