1、帐号安全
1.1 锁定系统中的自建帐号
#cat /etc/passwd
#cat /etc/shadow
#cp -p /etc/passwd /etc/passwd_bak
#cp -p /etc/shadow /etc/shadow_bak
使用命令passwd -l <用户名>锁定不必要的账号。
使用命令passwd -u <用户名>解锁需要恢复的账号。
1.2设置系统口令策略
PASS_MAX_DAYS 90 #新建用户的密码最长使用天数
PASS_MIN_DAYS 0 #新建用户的密码最短使用天数
PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数
PASS_MIN_LEN 0 #最小密码长度0
PASS_MAX_LEN 9 #最大密码长度9
1.3禁用root之外的超级用户
加固方法与1.1的加固方法一样!
1.4 限制能够su为root的用户
排错方法:当系统验证出现问题时,首先应当检查/var/log/messages或者/var/log/secure中的输出信息,根据这些信息判断用户账号的有效性。如果是因为PAM验证故障,而引起root也无法登录,只能使用single user或者rescue模式进行排错。
2、最小化服务
2.1 停止或禁用与承载业务无关的服务
查看当前init级别 who -r 或者 runlevel
查看所有服务的状态 chkconfig –list
设置服务在个init级别下开机是否启动 chkconfig –level <服务名> on|off|reset
3、数据访问控制
修改umask的值 改变新建文件的安全属性
修改umask=027
是WEB应用,则此项谨慎修改。
4、网络访问控制
4.2设置访问控制策略限制能够管理本机的IP地址
保存后,重启ssh。
4.3 禁止root用户远程使用ssh
修改文件/etc/ssh/sshd_config 将PermitRootLogin修改为yes
记得修改之前要备份
4.4 限定信任主机
修改/etc/hosts.deny,添加一下代码
4.5防止误使用Ctrl Alt Del重启系统
exec /sbin/shutdown -r now “Control-Alt-Delete pressed” 注释掉就可以了
5、用户鉴别
5.1设置帐户锁定登录失败锁定次数、锁定时间
auth required pam_tally.so onerr=fail deny=6 unlock_time=300
#设置为密码连续错误6次锁定,锁定时间300秒
风险:需要PAM包的支持;对pam文件的修改应仔细检查,一旦出现错误会导致无法登陆; 当系统验证出现问题时,首先应当检查/var/log/messages或者/var/log/secure中的输出信息,根据这些信息判断用户账号的有效性。
5.2 修改帐户TMOUT值,设置自动注销时间
修改/etc/profile文件
5.3设置Bash保留历史命令的条数
修改/etc/profile文件的HISTSIZE的值,自己设定
6、审计策略
6.1 配置系统日志策略配置文件
6.2审计产生的数据分配合理的存储空间和存储时间
rotate 4 日志文件保存个数为4,当第5个产生后,删除最早的日志