Linux安全策略设置
RHEL密码设置策略问题
1、当一个用户试图多次登录失败后,如何锁住这个用户?
PAM(可插入的验证模块)的pam_tally模块可以跟踪不成功的登录次数。当到达一个预先设定的限制值后,禁止这个用户的帐号。也就是通常讲的锁住用户。
为了使一个用户尝试登录4次失败,锁住这个用户,需要在/etc/pam.d/system- auth文件中加入下面两行:
auth required /lib/security/pam_tally.so nerr=fail no_magic_root
account required /lib/security/pam_tally.so deny=3 no_magic_root reset
下面是上面使用的选项的具体描述:
* nerr=fail
如果一些奇怪的事情发生,例如不能打开文件,这个决定了模块应该如何反应。
* no_magic_root
表示如何这个模块是由一个uid=0的用户触发,那么计数器就增加。
系统管理员应该使用这个选项用于例如:telnet/rsh/login之类的服务。
* deny=3
这个选项表明如果这个用户登录3次失败,就拒绝访问。
* reset
这个选项指示模块对成功的实体,应复位到0。
下面是一个实现这种策略的一个完全的例子:
auth required /lib/security/pam_env.so
auth required /lib/security/pam_tally.so nerr=fail no_magic_root
auth sufficient /lib/security/pam_unix.so likeauth nullok
auth required /lib/security/pam_deny.so
account required /lib/security/pam_unix.so
account required /lib/security/pam_tally.so deny=5 no_magic_root reset
password requisite /lib/security/$ISA/pam_cracklib.so retry=3
password sufficient /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow
password required /lib/security/$ISA/pam_deny.so
session required /lib/security/$ISA/pam_limits.so
session required /lib/security/$ISA/pam_unix.so
=============================================================================== 2、如何设置密码过期时间,比如说设置密码后, 90天后密码过期,需要重设密码?
修改/etc/login.defs里面的PASS_MAX_DAYS,比如修改所有
用户的密码过期时间是30天:
PASS_MAX_DAYS 30
如果这个值是99999,那么表示密码永不过期。
更多信息可以参考如下链接文档:
https://www.360docs.net/doc/e24146092.html,/faq/FAQ_80_12509.shtm
=============================================================================== 3、如何设置密码深度,即统自动记忆多少个以前的旧密码?
(1)创建/etc/security/opasswd
touch /etc/security/opasswd
chown root:root /etc/security/opasswd
chmod 600 /etc/security/opasswd
(2)在/etc/pam.d/system-auth里,给pam_unix模块里加上remember=10
password required pam_cracklib.so retry=3 minlen=12 difok=4
password required pam_unix.so md5 remember=12 use_authtok
Linux下的密码策略
1、Linux系统的用户帐号策略
编辑/etc/pam.d/system-auth 添加如下语句。
auth required /lib/security/$ISA/pam_tally.so deny=5
account required pam_tally.so
该语句的解释:密码最大联系登录6次,超过只能联系管理员。
2、密码策略
2.1编辑/etc/login.defs 指定如下参数的值。
PASS_MAX_DAYS 99999
PASS_MIN_DAYS 0
PASS_MIN_LEN 5
PASS_WARN_AGE 7
参数值得解释: PASS_MAX_DAYS(设置密码过期日期)
PASS_MIN_DAYS(设置密码最少更改日期)
PASS_MIN_LEN(设置密码最小长度)时指密码设置的最小长度,一般定义为8位以上
PASS_WARN_AGE(设置过期提前警告天数)
2.2 设置账户锁定登陆失败锁定次数、锁定时间
编辑/etc/pam.d/system- auth 首先 cp /etc/pam.d/system-auth
/etc/pam.d/system-auth.bak
#vi /etc/pam.d/system-auth
auth required pam_tally.so onerr=fail deny=6 unlock_time=300 解释:设置位密码连续六次锁定,锁定时间300秒
解锁用户 faillog -u <用户名》 -r
2.3 设置口令的复杂程度。
编辑/etc/pam.d/system- auth 首先 cp /etc/pam.d/system-auth
/etc/pam.d/system-auth.bak
#vi /etc/pam.d/system-auth
找到pam_cracklib.so 在后面加一些参数,
例:password requisite pam_cracklib.so minlen=8
ucredit=-2 lcredit=-2 dcredit=-5 ocredit=-1
意思为最少有2个大写字母,2个小写字符,5个数字, 1个符号
2.4 限制su的权限
如果你不想任何人能够用su作为root,可以编辑/etc/pam.d/su文件,增加如下两行:
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=isd
这时,仅isd组的用户可以用su作为root。此后,如果你希望用户admin能够用su作为root,可以运行如下命令
# usermod -G10 admin
linux系统安全配置要求
linux系统安全配置要求1.帐户安全配置要求 1.1.创建/etc/shadow口令文件 配置项名称设置影子口令模式 检查方法执行: #more /etc/shadow 查看是否存在该文件 操作步骤1、执行备份: #cp –p /etc/passwd /etc/passwd_bak 2、切换到影子口令模式: #pwconv 回退操作执行: #pwunconv #cp /etc/passwd_bak /etc/passwd 风险说明系统默认使用标准口令模式,切换不成功可能导致整个用户管理失效1.2.建立多帐户组,将用户账号分配到相应的帐户组 配置项名称建立多帐户组,将用户账号分配到相应的帐户组
检查方法1、执行: #more /etc/group #more /etc/shadow 查看每个组中的用户或每个用户属于那个组2、确认需要修改用户组的用户 操作步骤1、执行备份: #cp –p /etc/group /etc/group_bak 2、修改用户所属组: # usermod –g group username 回退操作 执行: #cp /etc/group_bak /etc/group 风险说明修改用户所属组可能导致某些应用无法正常运行1.3.删除或锁定可能无用的帐户 配置项名称删除或锁定可能无用的帐户 检查方法1、执行: #more /etc/passwd 查看是否存在以下可能无用的帐户: hpsmh、named、uucp、nuucp、adm、daemon、bin、lp 2、与管理员确认需要锁定的帐户 操作步骤 1、执行备份: #cp –p /etc/passwd /etc/passwd_bak
Linux操作系统的安全性
Linux操作系统的安全性 Linux操作系统的安全性是有目共睹的,相比Windows操作系统,到底Linux有哪些过人之处?这里我们就抛砖引玉,挑选三点重要的特点给大家说明,为什么说Linux操作系统安全性有其他系统无可比拟的优越性。 1、用户/文件权限的划分 用户权限在Windows操作系统里也不陌生,但是Linux操作系统的用户权限和文件权限要比Windows操作系统里严格有效。比较明显的一个案例就是,即便是你在Windows操作系统里设置了多用户,但是不同的用户之间通过一定的方式,还是能够互访文件的,这就失去了权限的意义。 LINUX文件权限针对的对象分三类(互斥的关系): 1. user(文件的拥有者) 2. group(文件拥有者所在的组,但不包括user) 3. other(其它用户,即user和group以外的) LINUX用一个3位二进制数对应着文件的3种权限(1表示有该权限,0表示无): 第1位读r 100 4 第2位写w 010 2 第3位执行x 001 1 查看权限 #ls -l 第一列,一共10位(drwxrwxrwx),就代表了文件的权限: 1)第一个d代表是一个目录,如果显示“-”,则说明不是一个目录 2)2-4代表user的权限 3)5-7代表group的权限 4)8-10代表other的权限 对于后9位: r 代表可读(read),其值是4 w 代表可写(write),其值是2 x 代表可执行(execute),其值是1 - 代表没有相应权限,其值是0 修改文件权限
# chmod [ugoa][+-=][rwx] 文件名 1)用户 u 代表user g 代表group o 代表other a 代表全部的人,也就是包括u,g和o 2)行动 + 表示添加权限 - 表示删除权限 = 表示使之成为唯一的权限 3)权限 rwx也可以用数字表示法,不过很麻烦要自己算,比如rw=6 常见权限 -rw——(600)只有所有者才有读和写的权限 -rw-r——r——(644)只有所有者才有读和写的权限,组群和其他人只有读的权限-rwx——(700)只有所有者才有读,写,执行的权限 -rwxr-xr-x (755)只有所有者才有读,写,执行的权限,组群和其他人只有读和执行的权限 -rwx——x——x (711)只有所有者才有读,写,执行的权限,组群和其他人只有执行的权限 -rw-rw-rw- (666)每个人都有读写的权限 -rwxrwxrwx (777)每个人都有读写和执行的权限,最大权限。 也许你会说,Windows操作系统里不也内置了防火墙,Linux系统内置防火墙有什么特殊之处。其实,iptables不仅仅是一个防火墙,而且即便是一个防火墙,它与我们常见的Windows操作系统下的防火墙相比,更加的专业性能更强大。 iptables是与Linux内核集成的IP信息包过滤系统,如果Linux系统连接到因特网或LAN、服务器或连接LAN和因特网的代理服务器,则该系统有利于在Linux系统上更好地控制IP 信息包过滤和防火墙配置。 netfilter/iptables IP信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中,而这些表集成在Linux 内核中。在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。
linux操作系统安全
贵州大学实验报告 学院:计信学院专业:信息安全班级:信息101
2、FTP服务器的安全配置 FTP为文件传输协议,主要用于网络间的文件传输。FTP服务器的特点是采用双端口工作方式,通常FTP服务器开放21端口与客户端进行FTP控制命令传输,这称为FTP的数据连接 实 验仪器linux操作系统中的安全配置:安装red hat linux9.0操作系统的计算机 linux中Web、FTP服务器的安全配置:一台安装Windows XP/Server 2003操作系统的计算机,磁盘格式配置为NTFS,预装MBSA工具 实验步骤linux操作系统中的安全配置 一、账户和安全口令 1、查看和添加账户 (1)使用系统管理员账户root登录文本模式,输入下面的命令行:使用useradd命令新建名为myusername的新账户 (2)使用cat命令查看账户列表,输入下列命令: [root@localhost root]# cat /etc/shadow 得出列表最后的信息为:
用如下命令切换到myusername账户,然后在使用cat命令查看账户列表,如果刚才的账户添加成功,那么普通用户myusername不能查看该文件的权限,提示如下: 2、添加和更改口令 切换到root用户,添加myusername的口令: [root@localhost root]# passwd myusername 3、设置账户管理 输入命令行[root@localhost root]#chage –m 0 –M 90 –E 0 –W 10 myusername,此命
令强制用户myusername首次登陆时必须更改口令,同时还强制该用户以后每90天更改一次口令,并提前10天提示 4、账户禁用于恢复 (1)输入下列命令行,以管理员身份锁定新建的myusername账户,并出现锁定成功的提示: 此刻如果使用su切换到myusername账户,则出现以下提示: 表明锁定成功 (2)输入以下命令行,检查用户nyusername的当前状态: (3)如果要将锁定账户解锁,输入以下命令行,并出现相应的解锁提示: 5、建立用户组,将指定的用户添加到用户组中 (1)输入以下命令,建立名为mygroup的用户组: (2)如果要修改用户组的名称,使用如下命令行: 将新建的用户组更名为mygroup1 (3)输入以下命令,将用户myusername加入到新建的组mygroup1中并显示提示:
linux安全策略
[摘要] Linux系统使用越来越广泛,关系Linux的安全越来越受到人们的重视,本文结合笔者在Linux系统安全管理方面的一些经验体会,从账户、密码策略、文件权限,日志管理、远程访问等5个方面,对linux系统安全谈谈自己的体会,供大家参考。 一、引言随着Internet/Intranet网络的日益普及,Linux作为一个现代的操作系统,正在各个方面得到广泛的应用。Linux在服务器、嵌入式等方面已经取得不俗的成绩,在桌面系统方面,也逐渐受到欢迎。于是Linux的安全问题也逐渐受到人们的重视。Linux是一个开放式系统,可以在网络上找到许多现成的程序和工具,这既方便了用户,也方便了黑客,因为他们也能很容易地找到程序和工具来潜入Linux系统,或者盗取Linux系统上的重要信息。因此,详细分析Linux 系统的安全机制,找出它可能存在的安全隐患,给出相应的安全策略和保护措施是十分必要的。针对Linux的基本安全防护,笔者这里稍做介绍。二、Linux系统的安全策略1.Linux系统的用户账号策略管理员的工作中,相当重要的一环就是管理账号。在管理Linux 主机的账号时,一个最重要的方面就是确保每一个UID仅仅使用一次。另外就是设置有限的登陆次数来预防无休止的登陆攻击,通过编辑/etc/pam.d/system-auth,添加下面两句可以设置账户最多连续登陆5次,超过5次账户将被锁定,只有管理员才能帮助解锁。auth required pam_tally.so deny=5 account required pam_tally.so 2.密码策略要求(1)口令时效和口令长度的设置。口令时效和口令长度是一种系统机制,用于强制口令在特定的时间长度后失效。对用户来说,
UnixLinux系统的安全性概述
计算机网络安全技术题目:Unix/linux系统的安全性概述 班级:09 级达内班 组长:朱彦文学号:09700308 组员:冯鑫学号:09700310 组员:刘新亮学号:09700309 组员:梁小文学号:09700312 组员:龚占银学号:09700313 组员:高显飞学号:09700304 组员:陶志远学号:09700305 时间:2011年6月
目录 1、linux系统的介绍 (1) 2、服务安全管理 (1) 2.1、安全防护的主要内容 (1) 3、linux系统文件安全 (1) 3.1、文件相关权限的设置 (2) 3.2、SUID和SGID程序 (2) 4、用户访问安全 (2) 4.1、口令安全 (2) 4.2、登录安全 (3) 5、防火墙、IP伪装个代理服务器 (4) 5.1、什么是防火墙 (4) 5.2防火墙分类 (4) 6、服务器被侵入后的处理 (5) 7、日常安全注意事项 (5) 8、参考文献 (6)
Unix/linux系统的安全性概述 1、linux系统的介绍 Linux是一类Unix计算机操作系统的统称。Linux操作系统的内核的名字也是“Linux”。Linux操作系统也是自由软件和开放源代码发展中最著名的例子。严格来讲,Linux这个词本身只表示Linux内核,但在实际上人们已经习惯了用Linux 来形容整个基于Linux内核,并且使用GNU 工程各种工具和数据库的操作系统。Linux得名于计算机业余爱好者Linus Torvalds。Linux,其安全性漏洞已经广为流传,黑客可以很容易地侵入。而网络服务器往往储存了大量的重要信息,或向大量用户提供重要服务;一旦遭到破坏,后果不堪设想。所以,网站建设者更需要认真对待有关安全方面的问题,以保证服务器的安全。 2、服务安全管理 2.1、安全防护的主要内容 对于网站管理人员而言,日常性的服务器安全保护主要包括四方面内容: 文件存取合法性:任何黑客的入侵行为的手段和目的都可以认为是非法存取文件,这些文件包括重要数据信息、主页页面 HTML文件等。这是计算机安全最重要的问题,一般说来,未被授权使用的用户进入系统,都是为了获取正当途径无法取得的资料或者进行破坏活动。良好的口令管理 (由系统管理员和用户双方配合 ),登录活动记录和报告,用户和网络活动的周期检查都是防止未授权存取的关键。 用户密码和用户文件安全性:这也是计算机安全的一个重要问题,具体操作上就是防止 已授权或未授权的用户相互存取相互的重要信息。文件系统查帐、su登录和报告、用户意识、加密都是防止泄密的关键。 防止用户拒绝系统的管理:这一方面的安全应由操作系统来完成。操作系统应该有能力 应付任何试图或可能对它产生破坏的用户操作,比较典型的例子是一个系统不应被一个有意 使用过多资源的用户损害 (例如导致系统崩溃 )。 防止丢失系统的完整性:这一方面与一个好系统管理员的实际工作 (例如定期地备份文件系统,系统崩溃后运行 fsck检查、修复文件系统,当有新用户时,检测该用户是否可能使系统崩溃的软件 )和保持一个可靠的操作系统有关 (即用户不能经常性地使系统崩溃 )。
中国电信Linux操作系统安全配置规范
中国电信Linux 操作系统安全配置规范 Specification for Linux OS Configuration Used in China Telecom 中国电信集团公司 发布 保密等级:公开发放
目录 目录..................................................................... I 前言.................................................................... II 1 范围 (1) 2 规范性引用文件 (1) 3 缩略语 (1) 3.1 缩略语.................................................. 错误!未定义书签。 4 安全配置要求 (2) 4.1 账号 (2) 4.2 口令 (3) 4.3 文件及目录权限 (5) 4.4 远程登录 (7) 4.5 补丁安全 (8) 4.6 日志安全要求 (9) 4.7 不必要的服务、端口 (10) 4.8 系统Banner设置 (11) 4.9 登陆超时时间设置 (12) 4.10 删除潜在危险文件 (12) 4.11 FTP设置 (12) 附录A:端口及服务 (13)
前言 为了在工程验收、运行维护、安全检查等环节,规范并落实安全配置要求,中国电信编制了一系列的安全配置规范,明确了操作系统、数据库、应用中间件在内的通用安全配置要求。 本规范是中国电信安全配置系列规范之一。该系列规范的结构及名称预计如下: (1)AIX操作系统安全配置规范 (2)HP-UX操作系统安全配置规范 (3)Solaris操作系统安全配置规范 (4)Linux操作系统安全配置规范(本标准) (5)Windows 操作系统安全配置规范 (6)MS SQL server数据库安全配置规范 (7)MySQL数据库安全配置规范 (8)Oracle数据库安全配置规范 (9)Apache安全配置规范 (10)IIS安全配置规范 (11)Tomcat安全配置规范 (12)WebLogic安全配置规范 本标准由中国电信集团公司提出并归口。
Linux系统安全
1 本章重点内容 Linux 系统安全 防火墙技术基本知识 用iptales实现包过滤型防火墙 2 8.1 计算机网络安全基础知识8.1.1 网络安全的含义 网络安全从其本质上来讲就是网络上的信息安全,其所涉及的领域相当广泛。这是因为在目前的公用通信网络中存在着各种各样的安全漏洞和威胁。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全所要研究的领域。下面给出网络安全的一个通用定义: 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 因此,网络安全在不同的环境和应用中会得到不同的解释。 (1)运行系统安全,即保证信息处理和传输系统的安全。包括计算机系统机房环境的保护,法律、政策的保护,计算机结构设计上的安全性考虑,硬件系统的可靠安全运行,计算机操作系统和应用软件的安全,数据库系统的安全,电磁信息泄露的防护等。它侧重于保证系统正常的运行,避免因为系统的崩溃和损坏而对系统存储、处理和传输的信息造成破坏和损失,避免由与电磁泄漏,产生信息泄露,干扰他人(或受他人干扰),本质上是保护系统的合法操作和正常运行。 3 (2)网络上系统信息的安全。包括用户口令鉴别、用户存取权限控制、数据存取权限、方式控制、安全审计、安全问题跟踪、计算机病毒防治、数据加密等。 (3)网络上信息传播的安全,即信息传播后的安全。包括信息过滤等。它侧重于防止和控制非法、有害的信息进行传播后的后果。避免公用通信网络上大量自由传输的信息失控。它本质上是维护道德、法律或国家利益。 (4)网络上信息内容的安全,即讨论的狭义的“信息安全”。它侧重于保护信息的保密性、真实性和完整性。避免攻击者利用系统的安全漏洞进行窃听、冒充和诈骗等有损于合法用户的行为。它本质上是保护用户的利益和隐私。 计算机网络安全的含义是通过各种计算机、网络、密码技术和信息安全技术,保护在公用通信网络中传输、交换和存储信息的机密性、完整性和真实性,并对信息的传播及内容具有控制能力。网络安全的结构层次包括:物理安全、安全控制和安全服务。 可见,计算机网络安全主要是从保护网络用户的角度来进行的,是针对攻击和破译等人为因素所造成的对网络安全的威胁。而不涉及网络可靠性、信息的可控性、可用性和互操作性等领域。 48.1.2 网络安全的特征 网络安全应具有以下四个方面的特征: (1)保密性是指信息不泄露给非授权的用户、实体或过程,或供其利用的特性。 (2)完整性是指数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 (3)可用性是指可被授权实体访问并按需求使用的特性,即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。 (4)可控性是指对信息的传播及内容具有控制能力。 8.1.3 对网络安全的威胁 与网络连通性相关的有三种不同类型的安全威胁: (1)非授权访问(Unauthorized Access )指一个非授权用户的入侵。(2)信息泄露(Disclosure of Information )指造成将有价值的和高度机密的信息暴露给无权访问该信息的人的所有问题。 (3)拒绝服务(Denial of Service )指使系统难以或不能继续执行任务的所有问题。 5 8.1.4 网络安全的关键技术 从广义上讲,计算机网络安全技术主要有:(1)主机安全技术:(2)身份认证技术:(3)访问控制技术:(4)密码技术:(5)防火墙技术:(6)安全审计技术:(7)安全管理技术: 8.1.5 Linux 系统的网络安全策略 1.简介 6 随着Internet/Intranet网络的日益普及,采用Linux网络操作系统作为服务器的用户也越来越多,这一方面是因为Linux是开放源代码的免费正版软件,另一方面也是因为较之微软的Windows NT网络操作系统而言,Linux系统具有更好的稳定性、效率性和安全性。在Internet/Intranet的大量应用中,网络本身的安全面临着重大的挑战,随之而来的信息安全问题也日益突出。以美国为例,据美国联邦调查局(FBI)公布的统计数据,美国每年因网络安全问题所造成的经济损失高达75亿美元,而全球平均每20秒钟就发生一起Internet计算机黑客侵入事件。一般认为,计算机网络系统的安全威胁主要来自黑客攻击和计算机病毒2个方面。那么黑客攻击为什么能够经常得逞呢?主要原因是很多人,尤其是很多网络管理员没有起码的网络安全防范意识,没有针对所用的网络操作系统,采取有效的安全策略和安全机制,给黑客以可乘之机。 由于网络操作系统是用于管理计算机网络中的各种软硬件资源,实现资源共享,并为整个网络中的用户提供服务,保证网络系统正常运行的一种系统软件。如何确保网络操作系统的安全,是网络安全的根本所在。只有网络操作系统安全可靠,才能保证整个网络的安全。因此,详细分析Linux 系统的安全机制,找出可能存在的安全隐患,给出相应的安全策略和保护措施是十分必要的。
Linux系统安全加固手册
密级:商业秘密LINUX评估加固手册 安氏领信科技发展有限公司 二〇一五年十二月
目录 1、系统补丁的安装 (3) 2、帐户、口令策略的加固 (3) 2.1、删除或禁用系统无用的用户 (3) 2.2、口令策略的设置 (4) 2.3、系统是否允许ROOT远程登录 (5) 2.4、ROOT的环境变量设置 (5) 3、网络与服务加固 (5) 3.1、RC?.D中的服务的设置 (5) 3.2、/ETC/INETD.CONF中服务的设置 (6) 3.3、NFS的配置 (8) 3.4、SNMP的配置 (9) 3.5、S ENDMAIL的配置 (9) 3.6、DNS(B IND)的配置 (9) 3.7、网络连接访问控制的设置 (10) 4、信任主机的设置 (11) 5、日志审核的设置 (11) 6、物理安全加固 (11) 7、系统内核参数的配置 (13) 8、选装安全工具 (14)
1、系统补丁的安装 RedHat使用RPM包实现系统安装的管理,系统没有单独补丁包(Patch)。如果出现新的漏洞,则发布一个新的RPM包,版本号(Version)不变,Release做相应的调整。因此检查RH Linux的补丁安装情况只能列出所有安装的软件,和RH 网站上发布的升级软件对照,检查其中的变化。 通过访问官方站点下载最新系统补丁,RedHat公司补丁地址如下: https://www.360docs.net/doc/e24146092.html,/corp/support/errata/ rpm -qa 查看系统当前安装的rpm包 rpm -ivh package1安装RPM包 rpm -Uvh package1升级RPM包 rpm -Fvh package1升级RPM包(如果原先没有安装,则不安装) 2、帐户、口令策略的加固 2.1、删除或禁用系统无用的用户 询问系统管理员,确认其需要使用的帐户 如果下面的用户及其所在的组经过确认不需要,可以删除。 lp, sync, shutdown, halt, news, uucp, operator, games, gopher 修改一些系统帐号的shell变量,例如uucp,ftp和news等,还有一些仅仅需要FTP功能的帐号,检查并取消/bin/bash或者/bin/sh等Shell变量。可以在/etc/passwd中将它们的shell变量设为/bin/false或者/dev/null等。也可以通过passwd groupdel 来锁定用户、删除组。 passwd -l user1锁定user1用户 passwd -u user1解锁user1用户 groupdel lp 删除lp组。
Linux 防火墙的功能及安全策略
Linux 防火墙的功能及安全策略 防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。因此,防火墙的功能有以下几点: ●防火墙是网络安全的屏障 一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS 协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。 ●防火墙可以强化网络安全策略 通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。 ●对网络存取和访问进行监控审计 如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。 ●防止内部信息的外泄 通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。
(完整版)Linux安全配置基线
Linux系统安全配置基线 中国移动通信有限公司管理信息系统部 2009年3月
版本版本控制信息更新日期更新人审批人V1.0创建2009年1月 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 1.4实施 (1) 1.5例外条款 (1) 第2章账号管理、认证授权 (2) 2.1账号 (2) 2.1.1用户口令设置 (2) 2.1.2root用户远程登录限制 (2) 2.1.3检查是否存在除root之外UID为0的用户 (3) 2.1.4root用户环境变量的安全性 (3) 2.2认证 (4) 2.2.1远程连接的安全性配置 (4) 2.2.2用户的umask安全配置 (4) 2.2.3重要目录和文件的权限设置 (4) 2.2.4查找未授权的SUID/SGID文件 (5) 2.2.5检查任何人都有写权限的目录 (6) 2.2.6查找任何人都有写权限的文件 (6) 2.2.7检查没有属主的文件 (7) 2.2.8检查异常隐含文件 (7) 第3章日志审计 (9) 3.1日志 (9) 3.1.1syslog登录事件记录 (9) 3.2审计 (9) 3.2.1Syslog.conf的配置审核 (9) 第4章系统文件 (11) 4.1系统状态 (11) 4.1.1系统core dump状态 (11) 第5章评审与修订 (12)
第1章概述 1.1目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的LINUX操作系统的主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行LINUX操作系统的安全合规性检查和配置。 1.2适用范围 本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的LINUX 服务器系统。 1.3适用版本 LINUX系列服务器; 1.4实施 本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。 本标准发布之日起生效。 1.5例外条款 欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
linux系统安全加固方案
1.1适用范围..................................................................................错误!未指定书签。2用户账户安全加固......................................................................错误!未指定书签。 2.1修改用户密码策略...................................................................错误!未指定书签。 2.2锁定或删除系统中与服务运行,运维无关的的用户 ..........错误!未指定书签。 2.3锁定或删除系统中不使用的组 ..............................................错误!未指定书签。 2.4限制密码的最小长度........................................................错误!未指定书签。3用户登录安全设置......................................................................错误!未指定书签。 3.1禁止root用户远程登录..........................................................错误!未指定书签。 3.2设置远程ssh登录超时时间 ...................................................错误!未指定书签。 3.3设置当用户连续登录失败三次,锁定用户30分钟 ............错误!未指定书签。 3.4设置用户不能使用最近五次使用过的密码 ..........................错误!未指定书签。 3.5设置登陆系统账户超时自动退出登陆 ..................................错误!未指定书签。4系统安全加固..............................................................................错误!未指定书签。 4.1关闭系统中与系统正常运行、业务无关的服务 ..................错误!未指定书签。 4.2禁用“CTRL+ALT+DEL”重启系统...........................................错误!未指定书签。 4.3加密grub菜单 .........................................................................错误!未指定书签。
加强Linux系统安全的几大技巧
加强Linux系统安全的几大技巧 导读:计算机系统一旦被恶意软件攻击,就存在泄漏隐私数据的风险,除了使用安全杀毒软件外,还有做一些必要的安全防护措施,下面小编就给大家介绍下如何保护Linux系统的安全。 1. 使用SELinux SELinux是用来对Linux进行安全加固的,有了它,用户和管理员们就可以对访问控制进行更多控制。SELinux为访问控制添加了更细的颗粒度控制。与仅可以指定谁可以读、写或执行一个文件的权限不同的是,SELinux可以让你指定谁可以删除链接、只能追加、移动一个文件之类的更多控制。(LCTT译注:虽然NSA 也给SELinux贡献过很多代码,但是目前尚无证据证明SELinux有潜在后门)2禁用不用的服务和应用 通常来讲,用户大多数时候都用不到他们系统上的服务和应用的一半。然而,这些服务和应用还是会运行,这会招来攻击者。因而,最好是把这些不用的服务停掉。(LCTT译注:或者干脆不安装那些用不到的服务,这样根本就不用关注它们是否有安全漏洞和该升级了。) 3 订阅漏洞警报服务 安全缺陷不一定是在你的操作系统上。事实上,漏洞多见于安装的应用程序之中。为了避免这个问题的发生,你必须保持你的应用程序更新到最新版本。此外,订阅漏洞警报服务,如SecurityFocus。 4 使用Iptables Iptables是什么?这是一个应用框架,它允许用户自己为系统建立一个强大的防火墙。因此,要提升安全防护能力,就要学习怎样一个好的防火墙以及怎样使用Iptables框架。 5 检查系统日志 你的系统日志告诉你在系统上发生了什么活动,包括攻击者是否成功进入或试着访问系统。时刻保持警惕,这是你第一条防线,而经常性地监控系统日志就是为了守好这道防线。 6 考虑使用端口试探 设置端口试探(Port knocking)是建立服务器安全连接的好方法。一般做法
实验一:Linux用户管理与安全策略
操作系统安全Operating System Security Linux系统安全实验讲义 2013年12版本
实验一:Linux用户管理与安全策略1实验目的 ●通过实验熟悉Linux 环境下的用户操作管理; ●了解PAM工作原理和配置方法; ●掌握Linux 操作系统中常用用户安全策略配置; 2实验原理 2.1用户与用户组的基本体系 ●Linux提供了安全的用户名和口令文件保护以及强大的口令设置规 则,并对用户和用户组的权限进行细粒度的划分。 ●Linux 系统的用户和用户组的信息分别保存在 ?/etc/shadow ?/etc/passwd ?/etc/group ?/etc/gshadow 等几个文件中, ●/etc/passwd文件是系统用户认证访问权限的第一个文件。 文件的行格式如下:
login_name:password:uid:gid:user info: home_directory:default_shell ?其中: ?login_name:用户帐户,可以用1~8个字符表示,区分大小写, 避免使用数字开头; ?password:加密后的用户登录系统的密码; ?uid:系统指定给每个用户的唯一数值,即用户标识符,32位系统 中标识符在0~60 000之间。; ?gid:用户组标识; ?user info:用户注释信息(如用户身份、电话号码、特性等); ?home_directory:用户的主目录(家目录); ?default_shell:用户登录系统时默认执行的Shell程序,通常为 /bin/sh,表示执行Bourne Shell。如果是Korn Shell则用 /usr/bin/ksh。如果是C Shell则用/usr/bin/csh。如果是TC Shell 则用/usr/bin/tcsh(较少使用)。如果是Bash Shell则用 /usr/bin/bash(Linux系统) 特别说明: Linux 系统支持以命令行或窗口方式管理用户和用户组,本实验要求使用命令行方式实现,窗口方式为学生自行了解和掌握内容。 2.2PAM安全验证机制 详见课程讲义和教学课件
Linux安全策略配置
Linux安全策略配置
目录 一、关闭不必要的服务 (3) 二、控制使用开放的服务的用户 (4) 三、"/ETC/EXPORTS"文件设置 (6) 四、禁止使用控制台程序 (7) 五、"/ETC/ALIASES"文件 (8) 六、使系统对PING没有反应 (9) 七、不要显示系统提示信息 (10) 八、"/ETC/HOST.CONF"文件 (10) 九、防止源路由 (11) 十、使TCP SYN COOKIE保护生效 (12) 十一、特殊的帐号 (12) 十二、防止任何人都可以用SU命令成为ROOT (14) 十三、把RPM程序转移到一个安全的地方,并改变默认的访问许可 (15) 十四、登录SHELL (16) 十五、改变"/ETC/RC.D/INIT.D/"目录下的脚本文件的访问许可 (17) 十六、"/ETC/RC.D/RC.LOCAL"文件 (17)
一、关闭不必要的服务 Linux的服务分为两种,一种是由inetd超级服务器来启动的,如:ftp、telnet等;对于这些服务来说,系统并不总是运行telnetd、 ftpd等服务进程,而是由inetd进程监听这些服务的服务端口,一旦有服务请求到达就启动对应的服务进程(如:telnetd等)来提供服务。另外一种是独立的服务器,系统一直运行有对应的服务进程。 关闭这两种服务的方法是不同的,对于inetd启动的进程: inetd超级服务器的配置文件为/etc/inetd.conf,该文件指示了inetd应该监听哪些服务请求,并在请求时启动对应的服务。因此只要通过编辑 /etc/inetd.conf文件就可以实现关闭不需要的服务,例如希望关闭pop3服务,则在编辑/etc/inetd.conf文件以前文件中有如下的内容: pop-3 stream tcp nowait root /usr/sbin/tcpd ipop3d 要关闭pop3服务则在该行前添加注释符即可: #pop-3 stream tcp nowait root /usr/sbin/tcpd ipop3d 通过编辑该文件,实现关闭不需要的服务(例如我的系统我仅仅开放了telnet和ftp服务)以后,则需要重新启动inetd超级服务器。首先找到inetd 的进程号: [root@aid /etc]# ps ax|grep inetd 358 ? S 0:00 inetd 然后重新启动inetd服务器: [root@aid /etc]# kill -HUP 358 最后因为inetd.conf应该不允许普通用户读写,因此设置其访问权限为600: chmod 600 /etc/inetd.conf 而且该文件应该不被任何用户修改,包括root用户。因此为了防止用户错误的修改该文件,为该文件添加不可修改位: chattr i /etc/inetd.conf 对于独立服务器,则需要通过/usr/sbin/ntsysv命令来修改:
Linux服务器安全防护部署精品文档12页
Linux服务器安全防护部署 Abstract Linux operating system is an operating system with open source code, its excellent stability, safety, strong load capacity, compared to the Windows operating system has more advantages. But does not represent a safety problem does not exist in the Linux system, Linux system after the installation is complete, must carry out the necessary configuration, to enhance the security of Linux server, and decrease the possibility of the system to be attacked, increase the stability of the system. Keywords Linux The server Safety The firewall System optimiza-tion 1 用户权限配置 1)屏蔽、删除被操作系统本身启动的不必要的用户和用户组。Linux 提供了很多默认的用户和用户组,而用户越多,系统就越容易受到利用和攻击,因此删除不必要的用户和用户组可提高系统的安全性。 命令:userdel 用户名 groupdel 用户组名 2)用户口令应使用字母、数字、特殊符号的无规则组合,绝对不要单独使用英语单子或词组,必须保证在密码中存在至少一个特殊符号和一个数字。强制要求系统中非root用户密码最大使用天数为60天、长度不能小于8位。 命令:vi /etc/login.defs
Linux系统安全配置基线
Linux系统安全配置基线 目录 第1章概述................................................... 错误!未指定书签。 1.1目的 .................................................... 错误!未指定书签。 1.2适用范围 ................................................ 错误!未指定书签。 1.3适用版本 ................................................ 错误!未指定书签。第2章安装前准备工作 ......................................... 错误!未指定书签。 2.1需准备的光盘 ............................................ 错误!未指定书签。第3章操作系统的基本安装 ..................................... 错误!未指定书签。 3.1基本安装 ................................................ 错误!未指定书签。第4章账号管理、认证授权 ..................................... 错误!未指定书签。 4.1账号 .................................................... 错误!未指定书签。 4.1.1用户口令设置........................................ 错误!未指定书签。 4.1.2检查是否存在除root之外UID为0的用户 ............... 错误!未指定书签。 4.1.3检查多余账户........................................ 错误!未指定书签。 4.1.4分配账户............................................ 错误!未指定书签。 4.1.5账号锁定............................................ 错误!未指定书签。 4.1.6检查账户权限........................................ 错误!未指定书签。 4.2认证 .................................................... 错误!未指定书签。 4.2.1远程连接的安全性配置 ................................ 错误!未指定书签。 4.2.2限制ssh连接的IP配置 ............................... 错误!未指定书签。 4.2.3用户的umask安全配置 ................................ 错误!未指定书签。 4.2.4查找未授权的SUID/SGID文件 .......................... 错误!未指定书签。 4.2.5检查任何人都有写权限的目录 .......................... 错误!未指定书签。 4.2.6查找任何人都有写权限的文件 .......................... 错误!未指定书签。 4.2.7检查没有属主的文件 .................................. 错误!未指定书签。 4.2.8检查异常隐含文件 .................................... 错误!未指定书签。第5章日志审计............................................... 错误!未指定书签。 5.1日志 .................................................... 错误!未指定书签。 5.1.1syslog登录事件记录.................................... 错误!未指定书签。 5.2审计 .................................................... 错误!未指定书签。 5.2.1Syslog.conf的配置审核................................. 错误!未指定书签。 5.2.2日志增强............................................ 错误!未指定书签。 5.2.3syslog系统事件审计.................................... 错误!未指定书签。第6章其他配置操作 ........................................... 错误!未指定书签。 6.1系统状态 ................................................ 错误!未指定书签。 6.1.1系统超时注销........................................ 错误!未指定书签。 6.2L INUX服务................................................ 错误!未指定书签。