Redhat AS5 加固

1、加固SSH服务

修改/etxc/ssh/sshd.conf文件

①禁止root用户远程登录

②设置允许密码错误次数为6次

③设置SSH版本好为2

④重启SSH服务

2、禁用无用账号

①使用cat /etc/passwd  命令查看所有账号

注:/etc/passwd是存放用户的地方，简单学习一下。各个字段描述如下：

用户名: 密码 : uid  : gid :用户描述：主目录：登陆shell

②使用passwd -l 禁用用户

此时登录，发现roy用户已经无法登录！

使用passwd - u  解锁用户

 

注意：在禁用账号时，要注意不要影响到系统业务的使用！

3、检查特殊账号

①检查密码为空的用户

awk -F: '($2=="")' /etc/shadow

密码为空的账户，要记得为其创建密码或者将其禁用，保障系统安全！

②检查uid为0的账户

awk -F: '($3==0）‘ /etc/passwd

uid为0的账户应该只有root！

4、账户口令策略

使用vi /etc/pam.d/system-auth命令，查看密码策略。

①添加第一条与第二条命令，使得在密码连续错误三次时，自动锁定账户，仅能用 root用户解锁！

修改配置文件，添加autu required  pam_tally.so onerr=fail deny=3 unlock_time=30

使用faillog -u  用户名  -r  为用户解锁！

使用账户锁定策略需谨慎，而且账户锁定策略对于root用户是无效的！

②修改用户设置，包括密码使用时间（最长时间&最短时间）过期日期以及过期前提示。

修改配置文件  vi /etc/login.defs ，设置全体用户的密码过期时间等

或者使用chage 命令单独修改单用户配置

chage   -m  (最短时间)  -M  (最长时间) -E (过期时间) -W （过期前X天提示) 用户名

③增加密码复杂度要求

要求密码中至少要有数字、大写字母、小写字母、特殊字符各一位以上，并且要求密码长度至少为8位。

4、为Linux引导器添加密码

使用 cat /etc/grub.conf | grep password  命令查看是否为grub引导器设置了密码。

若没有设置的话，则为其添加密码

添加Password=xxx选项

在进入系统引导时输入e 再使用p确认引导，此时提示需要输入密码

5、限制能够su到root 的用户

vi /etc/pam.d/su  编辑配置文件，添加 auth  required pam_wheel.so group=XXX

限制除了XXX的成员以外，其他用户不能su 到root

貌似 wheel.so  后面所跟的内容也可以改成别的东西，暂时没测试，以后补上。

6、关闭不需要运行的服务

首先使用 who -r 查看当前的运行级别 

然后，使用 chkconfig -list  服务名 查看某一服务在各个级别的运行情况

如果要调整某一个服务在某一级别下的运行情况的话，使用：

chkconfig --lever 运行级别  服务名  运行情况(包括 on、 off 、reset 、等

7、限制carl+alt+del命令

修改配置文件 /etc/inittab  防止使用 ctrl+alt+del 重启系统

将此条命令前加上#号注释

8、控制NFS共享

使用命令 exportfs    查看linux系统已经开启的共享。

通过编辑 /etc/exports文件控制NFS共享

9、设置默认的UMASK值，增强安全性

UMASK值表示某一用户创建的新文件对于其他用户的权限情况，其他用户的权限为777-UMASK值

默认情况下，使用umask命令查看已经设置生效的umask值

若要修改UMASK值，则使用命令 umask XXX   ，XXX为你想要修改的UMASK值

10、设置BASH保存的历史命令数

编辑/etc/profile  文件  中的HISTFILESIZE 字段 与 HISTSIZE 字段 设置保存的历史命令数

HISTFILESIZE 字段没有找到....

11、设置用户超时时间

编辑 /etc/profile 文件 添加TMOUT=XX字段

设置用户超时时间为XX秒

重新登录后生效！

12、日志系统设置

查看文件 /etc/syslog.conf 

系统日志（默认）/var/log/messages

cron 日志（默认）/var/log/cron

安全日志（默认）/var/log/secure

可以修改日志文件保存的位置

 

未完待续....如有任何错误请指出 ☻