1 操作系统安全加固... vi
1.1 Linux 安全加固
1.1.1 对系统账号进行登录限制
1.1.2 设置登录超时时间
1.1.3 设置关键目录的权限
1.1.4 设置关键文件的属性
1.1.5
修改
umask
值
1.1.6 记录用户登录信息
1.1.7 记录系统安全事件
1.1.8 记录系统服务日志
1.1.9 更改主机解析地址的顺序
1.1.10 打开 syncookie
1.1.11
不响应
ICMP
请求
1.1.12
防
syn
攻击优化
1.1.13
禁止
ICMP
重定向
1.1.14 关闭网络数据包转发
1.1.15 补丁装载
1.1.16
禁用无用
inetd/xinetd
服务
1.1.17 为空口令用户设置密码
1.1.18
删除
root
之外
UID
为
0
的用户
1.1.19 缺省密码长度限制
1.1.20 缺省密码生存周期限制
1.1.21 口令过期提醒
1.1 Linux 安全加固
1.1.1 对系统账号进行登录限制
实施目的
对系统账号进行登录限制,确保系统账号仅被守护进程和服务使用.
问题影响
可能利用系统进程默认账号登陆,账号越权使用.
系统当前状态
cat /etc/passwd 查看各账号状态.
实施步骤
一.执行命令
# chsh username -s /bin/false
此命令通过修改用户的 shell 来禁止用户登录;
对于 suse 操作系统使用 / bin/false,其他操作系统使用 / sbin/nologin
二.补充操作说明
1.
禁止交互登录的系统账号,比如
daemon
,
bin
,
sys
,
adm
,
lp
,
uucp,nuucp,smmsp 等等
2. 数据库用户 mysql 需要禁止登录
3. 禁止所有用户登录.
touch /etc/nologin
除 root 以外的用户不能登录了.
回退方案
将用户的 shell 修改成原来的.
判断依据
/etc/passwd 中的禁止登陆账号的 shell 是 /bin/false
1.1.2 设置登录超时时间实施目的
对于具备字符交互界面的设备,应配置定时帐户自动登出.
问题影响
管理员忘记退出被非法利用.
系统当前状态
查看 / etc/profile 文件的配置状态,并记录.
实施步骤
编辑文件 / etc/profile
#vi /etc/profile
文件末尾增加如下行:
TMOUT=180
export TMOUT
改变这项设置后,重新登录才能有效.
回退方案
修改 / etc/profile 的配置到加固之前的状态.
判断依据
TMOUT=180
TMOUT=180 单位秒
1 操作系统安全加固
来源: http://www.bubuko.com/infodetail-2473646.html