Linux加固

一、linux下挂载iso光盘镜像

    1、#mkdir  /mnt/vcdrom          ————建立一个目录用来作挂接点  

    2、#mount  –o  loop  –t  iso9660 /root/XX.iso  /mnt/vcdrom ————将root目

       录下的XX.ISO挂载到/mnt/vcdrom下。

二、rpm安装vsftpd和apache

1、在/mnt/vcdrom/Sever目录下能找到vsftpd和apache的安装包。

2、rpm  -ivh  xxxx.rpm ————安装命令(注:安装apache时要建立名为apache

的组)

3、启动服务:#service vsftpd start

            #service httpd start

4、apache配置文件下需要添加以下两句:

LoadModule    php5_module   modules/libphp5.so

AddType  application/x-httpd-php   .php

三、设置vsftpd

  1、设置vsftpd服务只在运行级别3、5为on

     #chkconfig --level 35 vsftpd on

  2、允许匿名用户登录

     #vi /etc/vsftpd/vsftpd.conf

      查看此行是否为yes:anonymous_enable=YES

  3、允许匿名用户创建文件对于其他用户是可读,可运行的

 

#vi /etc/vsftpd/vsftpd.conf

   加入:anon_umask=032

         file_open_mode=0777

运算方法:用file_open_mode的值去减不需要的权限:如:0777 – 032 就是7减去2,2就是写的权限,所以other得到的权限为r-x权限

4、允许匿名用户创建目录

是否允许匿名用户创建新文件夹

anon_mkdir_write_enable=YES

5、允许匿名用户上传文件

是否允许匿名用户上传文件,须将全局的write_enable=YES。默认为YES

anon_upload_enable=YES

6、允许匿名用户重命名文件夹

  加入:anon_other_write_enable=yes

四、对linux系统进行加固

 

1、查看GRUB(系统引导管理器)是否设置了密码,为其设置密码

      #vi /etc/grub.conf

      在splashimage=(hd0,0)/grub/splash.xpm.gz后面一行加入:password=123456

      在title Red Hat Enterprise Linux Server (2.6.18-8.el5)后面一行加入:lock

2、检查root的PATH变量中是否包含当前目录“.”如果有,使之不包含。

      #vi /etc/profile   去除“:.”部分。

      防止root执行恶意木马,减少安全隐患。

3、减少系统无用账号,发现非系统内账号,禁用。

      #passwd -l 用户名   ————锁定账号

      #passwd -u 用户名   ————解锁账号

      存在的系统默认账号:lp、sync、shutdown、halt、news、uucp、operator、games、

gopher

4、加固根账户和口令

     4.1  配置策略,锁定多次尝试登录失败的用户:

           Redhat 4.0版本:

              #vi /etc/pam.d/system-auth

              在system-auth文件的auth部分增加如下一行:

              auth required /lib/security/pam_tally.so onerr=fail no_magic_root

              在system-auth文件的account部分增加如下一行:

              account required /lib/security/pam_tally.so deny=3 no_magic_root reset

              尝试密码出现错误3次后,锁定账户。

           Redhat 5.0版本:

                  将配置文件system-auth,修改后内容如下所示:

              #vi /etc/pam.d/system-auth

                  auth       required      pam_env.so

                  auth       required       pam_unix.so nullok try_first_pass   (将原来的sufficient 改为required)

                  #auth      requisite     pam_succeed_if.so uid >= 500 quiet (注释掉此行)

                  #auth      required      pam_deny.so (注释掉此行)

                   auth      required      pam_tally2.so deny=5 onerr=fail   (增加的一行)

  

                        account    required      pam_unix.so

                      account    sufficient    pam_succeed_if.so uid < 500 quiet

                   account    required      pam_permit.so

                   account    required      pam_tally2.so (增加的一行)

       4.2编辑/etc/login.defs  

                       PASS_MAX_DAYS   99999

                       PASS_MIN_DAYS   0

                       PASS_MIN_LEN    5

                       PASS_WARN_AGE   7

               参数值解释: PASS_MAX_DAYS(设置密码过期日期)

                                     PASS_MIN_DAYS(设置密码最少更改日期)

                                     PASS_MIN_LEN(设置密码最小长度)时指密码设置的最小长度,一般

                                     定义为8位以上

                                     PASS_WARN_AGE(设置过期提前警告天数)

           4.3 设置口令的复杂程度

                   #vi /etc/pam.d/system-auth

           5、查看空口令和root权限的账号

                  #awk -F: ‘($2==””)’ /etc/shadow   ————查看空口令

                  #awk -F: ‘($3==0)’ /etc/passwd      ————查看root权限

           6、限制能su到root的用户

                  #vi /etc/pam.d/su

                  添加:auth      required   pam_wheel.so  group=test

                  #usermod -G test scjkdcn    ————将scjkdcn用户加入test组

                  查看组成员

                  #cat /etc/group | grep test

           7、设置系统登录后,连接超时时间为5分钟

                  #vi /etc/profile

                  在最后加入:TMOUT=300

           8、防止误使用ctrl+alt+del重启系统

                  #vi /etc/inittab

                  找到:ca::ctrlaltdel:/sbin/shutdown -t3 -r now,将其注释掉。

           9、禁止root用户通过SSH远程登录

               #vi /etc/ssh/sshd_config

                找到#PermitRootLogin yes,将注释取消,将no改为yes,保存

                重启SSH服务:service sshd restart

                Root用户无法直接登录,需要用普通账户登录后su

           10、apache设置远端客户端超时时间为180s

                   #vi /etc/httpd/conf/httpd.conf

                    Timeout 180   找到Timeout修改时间

 

posted @ 2013-04-25 09:28  jydeng  阅读(322)  评论(0编辑  收藏  举报