ITPub博客

首页 > Linux操作系统 > Linux操作系统 > linux 加固

linux 加固

原创 Linux操作系统 作者:pingdanorcale 时间:2020-08-18 13:32:49 0 删除 编辑

备份:


cp /etc/issue.net /etc/issue.net.bak

cp /etc/pam.d/system-auth-ac /etc/pam.d/system-auth-ac.bak



********************************************************************************************************************************************************************************


grep -v ':!!' /etc/shadow

检查没有两个感叹号的账号


锁定listen,gdm,webservd,nobody,nobody4,noaccess


passwd -l listen

passwd -l gdm

passwd -l webservd

passwd -l nobody

passwd -l nobody4

passwd -l noaccess



********************************************************************************************************************************************************************************

口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少4类,密码记录5次。pam_cracklib 


检查现状:

grep -v ^# /etc/login.defs |grep -v "^$"


加固:

vi /etc/login.defs

PASS_MIN_LEN    8


检查现状:

grep -v ^# /etc/pam.d/system-auth-ac 


加固:

vi /etc/pam.d/system-auth-ac

password    requisite     pam_cracklib.so try_first_pass retry=3 type= remember=5 ucredit=-1 lcredit=-1 dcredit=-1 credit=-1

密码记录5次   大写 小写 数字 特殊字符

cp /etc/pam.d/sshd /etc/pam.d/sshd.bak

vi /etc/pam.d/sshd  

auth          required        pam_tally2.so        deny=6



export TMOUT=180


********************************************************************************************************************************************************************************

控制用户缺省访问权限,

echo "umask 027" >> /etc/profile

echo "umask 027" >> /etc/login.defs



********************************************************************************************************************************************************************************

禁止root登陆FTP

cat /etc/vsftpd/ftpusers  #写在这里的用户无法登陆ftp



********************************************************************************************************************************************************************************

禁止匿名ftp

检查现状:

grep anonymous_enable /etc/vsftpd/vsftpd.conf 

加固:

vi /etc/vsftpd/vsftpd.conf 

anonymous_enable=NO

service vsftpd restart






********************************************************************************************************************************************************************************

限制具备超级管理员权限的用户远程登录。

检查现状:

grep -v ^# /etc/ssh/sshd_config |grep -v "^$"

加固:

echo "PermitRootLogin no" >> /etc/ssh/sshd_config

service sshd restart



禁止使用telnet等明文传输协议进行远程维护;

grep disable /etc/xinetd.d/telnet

####################

disable         = yes




********************************************************************************************************************************************************************************

打开syslog系统日志审计功能有助于系统的日常维护和故障排除,或者防止被攻击后查看日志采取防护补救措施,增强系统安全日志。

grep -v ^# /etc/rsyslog.conf 

####################

*.*                                                     @IP地址

*.info;mail.none;authpriv.none;cron.none                /var/log/messages

authpriv.* /var/log/secure

cron.*                                                  /var/log/cron

####################



********************************************************************************************************************************************************************************

修改ssh的banner信息

echo "Login success. All activity will be monitored and reported" > /etc/motd



####################

修改ftp的banner信息

检查现状

grep banner /etc/vsftpd/vsftpd.conf


加固

echo "ftpd_banner=All activity will be monitored and reported" >> /etc/vsftpd/vsftpd.conf

service vsftpd reload



####################

修改系统的banner信息

echo "All activity will be monitored and reported" > /etc/issue





####################

SNMP

service snmpd status

chkconfig --list |grep snmp


来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/10201716/viewspace-2712535/,如需转载,请注明出处,否则将追究法律责任。

下一篇: mysql-5.7.31 安装
请登录后发表评论 登录
全部评论

注册时间:2009-01-02

  • 博文量
    58
  • 访问量
    106493