LINUX服务器安全加固方法整理

LINUX服务器安全加固方法整理

1)–设置启用空闲激活、屏幕锁定、屏保和空闲激活时间

# 
gconftool-2 --direct 
--config-source xml:readwrite:/etc/gconf/gconf.xml.mandatory 
--type bool 
--set /apps/gnome-screensaver/idle_activation_enabled true
# 
gconftool-2 --direct 
--config-source xml:readwrite:/etc/gconf/gconf.xml.mandatory 
--type bool 
--set /apps/gnome-screensaver/lock_enabled true
# 
gconftool-2 --direct 
--config-source xml:readwrite:/etc/gconf/gconf.xml.mandatory 
--type string 
--set /apps/gnome-screensaver/mode blank-only
# 
gconftool-2 --direct 
--config-source xml:readwrite:/etc/gconf/gconf.xml.mandatory 
--type string 
--set /apps/gnome-screensaver/idle_delay 15

2)–设置密码复杂度
1、执行备份：
#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak
2、修改策略设置：
可使用pam pam_cracklib module或pam_passwdqc module实现密码复杂度，两者不能同时使用。
pam_cracklib主要参数说明:
tretry=N：重试多少次后返回密码修改错误
difok=N：新密码必需与旧密码不同的位数
dcredit=N：N >= 0密码中最多有多少个数字；N < 0密码中最少有多少个数字
lcredit=N：小写字母的个数
ucredit=N：大写字母的个数
credit=N：特殊字母的个数
minclass=N：密码组成(大/小字母，数字，特殊字

#vi /etc/pam.d/system-auth
password requisite pam_pwquality.so这一行后增加 minlen=8 minclass=2

3)–设置登录超时、csh shell 下的自动超时变量
1、执行备份：
#cp -p /etc/profile /etc/profile_bak
#cp -p /etc/csh.cshrc /etc/csh.cshrc_bak
2、在/etc/profile文件增加以下两行：
#vi /etc/profile
TMOUT=180
export TMOUT
3、修改/etc/csh.cshrc文件，添加如下行：
#vi /etc/csh.cshrc
set autologout=30
改变这项设置后，重新登录才能有效

4)–设置口令锁定策略
1、执行备份：
#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak
2、修改策略设置：
#vi /etc/pam.d/system-auth
增加下行代码到第二行
auth required pam_tally2.so deny=6 onerr=fail no_magic_root unlock_time=120
保存退出；

5)–修改密码有效期及最小长度
1、执行备份：
#cp -p /etc/login.defs /etc/login.defs_bak
2、修改策略设置：
#vi /etc/login.defs
修改PASS_MIN_LEN的值为8
修改PASS_MAX_DAYS的值为90
按要求修改PASS_MIN_DAYS/PASS_WARN_AGE的值
保存退出

6)–配置登录提示-是否更改telnet警告Banner
步骤1
修改文件/etc/motd的内容，如没有该文件，则创建它。
#echo “Authorized users only. All activity may be monitored and reported” > /etc/motd

步骤 2 修改Telnet回显信息
修改文件/etc/issue 和/etc/issue.net中的内容：
#echo “Authorized users only. All activity may be monitored and reported” > /etc/issue
#echo “Authorized users only. All activity may be monitored and reported” > /etc/issue.net

7)–禁止root用户远程登录系统
1、执行备份：
#cp -p /etc/securetty /etc/securetty_bak
#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak
2、禁止root用户远程登录系统
#vi /etc/securetty
#注释形如pts/x的行，保存退出，则禁止了root从telnet登录。
#vi /etc/ssh/sshd_config
修改PermitRootLogin设置为no并不被注释，保存退出，则禁止了root从ssh登录。
3、重启SSHD服务
#service sshd restart

8)–锁定无用帐户
1、执行备份：
#cp -p /etc/passwd /etc/passwd_bak
#cp -p /etc/shadow /etc/shadow_bak
2、锁定无用帐户：
#vi /etc/shadow
在需要锁定的用户名的密码字段前面加!，如test:! 1 1 1QD1ju03H$LbV4vdBbpw.MY0hZ2D/Im1:14805:0:99999:7:::

9)–umask 027表示默认创建新文件权限为750 也就是rxwr-x—
1、执行备份：
cp -p /etc/profile /etc/profile_bak
cp -p /etc/csh.login /etc/csh.login_bak
cp -p /etc/csh.cshrc /etc/csh.cshrc_bak
cp -p /etc/bashrc /etc/bashrc_bak
cp -p /root/.bashrc /root/.bashrc_bak
cp –p /root/.cshrc /root/.cshrc_bak
2、修改umask设置：
#vi /etc/profile
#vi /etc/csh.login
#vi /etc/csh.cshrc
#vi /etc/bashrc
#vi /root/.bashrc
#vi /root/.cshrc
最后一行增加 umask 027，保存退出。

10)–配置提示信息
1、执行如下命令创建ssh banner信息文件：
#touch /etc/sshbanner
#chown bin:bin /etc/sshbanner
#chmod 644 /etc/sshbanner
#echo “Authorized users only. All activity may be monitored and reported” > /etc/sshbanner

2、修改/etc/ssh/sshd_config文件，添加如下行：

vi /etc/ssh/sshd_config
Banner /etc/sshbanner
步骤 3 重启sshd服务：
#service sshd restart

11)–防止5个最近使用过的密码被用来设置为新密码
1、执行备份：
#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak
2、创建文件/etc/security/opasswd，并设置权限：
#touch /etc/security/opasswd
#chown root:root /etc/security/opasswd
#chmod 600 /etc/security/opasswd
2、修改策略设置：
#vi /etc/pam.d/system-auth
增加 password required pam_unix.so remember=5

12)–关闭 ICMP 路由重定向
1、备份文件：
#cp -p /etc/sysctl.conf /etc/sysctl.conf_bak
2、执行：
#vi /etc/sysctl.conf
加上net.ipv4.conf.all.accept_redirects=0

执行
/sbin/sysctl -p

13)–增加不能通过ftp登录的用户
1、修改ftpusers文件，增加不能通过ftp登录的用户
首先需确定ftpusers文件位置，可以通过以下命令知道：
#cat /etc/pam.d/vsftpd
auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd.ftpusers onerr=succeed
其中file=/etc/vsftpd/ftpusers即为当前系统上的ftpusers文件。

修改文件（假设文件为/etc/ftpusers）：

vi /etc/vsftpd/ftpusers
在文件中增加以下用户，则该用户均不允许通过ftp登录：
sys
nuucp
listen
noaccess
nobody4

14)关闭匿名用户登入
#vi /etc/vsftpd/vsftpd.conf
yes调整为no
anonymous_enable=NO