Linux安全加固

记录一次Linux安全加固的笔记

Liux安全加固

主要包括基线检查,做到防患于未然

身份鉴别加固

用户管理

删除多余,无用账户

cat /etc/passwd
cat /etc/shadow
userdel xxx

密码策略-1

检查空口令

awk -F: '$2 == "" {print $1}' /etc/shadow

修改密码

passwd xxx

口令有效期

vim /etc/login.defs
PASS_MAX_DAYS:密码最长有效期
PASS_MIN_DAYS:密码最短有效期
PASS_MAX_LEN:密码最小长度
PASS_WARN_AGE:口令失效前多少天通知用户

密码策略-2

口令强度

vim /etc/pam.d/system-auth

格式

password requisite pam_cracklib.so retry=3 difok=2 minlen=8 lcredit=-1 dcredit=-1

含义:

  • retry 重试多少次后返回密码修改错误
  • difok 本次密码与上次密码至少不同字符数
  • minlen 密码最小长度 此配置优先于login.defs中的PASS_MIN_LEN
  • ucredit 最少大写字母
  • lcredit 最少小写字母
  • ocredit 最少的字符数量
  • dcrdeit 最少数字

密码策略-3

登录失败策略

vim /etc/pam.d/sshd

格式

auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=1800

含义

 

  •  even_deny_root 也限制root用户
  • deny 最大次数,则锁定该用户
  • unlock_time 设置普通用户锁定后,多少时间后解锁,单位是秒
  • root_unlock_time设定root用户锁定后,多少时间后解锁,单位是秒

解锁

pam_tally2 --user=root --reset

访问控制加固

IP是否允许访问

允许

vim /etc/hosts.allow
sshd:192.168.142.*:allow
sshd:all:allow
sshd:192.168.142.74:allow

需要重启sshd服务

service sshd restart

拒绝

vim /etc/hosts.deny
sshd:192.168.142.*:deny
sshd:all:deny
sshd:192.168.142.74:deny

防范端口扫描

关闭不必要的端口

修改默认端口

vim /etc/ssh/sshd_config

防火墙策略

vim /etc/sysconfig/iptables (需要安装)
-A INPUT-p tcp --tcp-flags ALL FIN,URG,PSH -j REJECT 
-A INPUT-p tcp --tcp-flags SYN,RST SYN,RST -j REJECT 
-A INPUT-p tcp --tcp-flags SYN,FIN SYN,FIN -j

 

root权限控制-1

禁止root用户远程登录

vim /etc/ssh/sshd_config
# PermitRootLogin no

禁止其它用户su提权

 

vim /etc/pam.d/su

# 只允许wheel组用户
auth sufficient pam_rootok.so
auth required pam_wheel.so group=wheel

 

root权限控制-2

禁止其它用户sudo提权

visudo
# vi /etc/sudoers

禁止SUID提权

ll /usr/bin/passwd
find / -user root -perm -4000 -print 2>/dev/null 
chmod ugo-s xx

安全审计加固

auditd审计

记录文件变化

/var/log/audit/audit.log

搜索日志帮助

ausearch -h

 

漏洞补丁加固

更新软件

  1. 列出可用的更新
    yum check-update
  2. 查看可更新软件的详细信息
    yum info updates
  3. 升级所有软件
    yum upgrade 
    yum update
  4. 列出可用的安全补丁
    yum updateinfo list updates security

常见安全产品

堡垒机(跳板机),WAF,防火墙,蜜罐,态势感知,终端安全管理系统EDR,VPN

自问自答

  1. 密码策略为什么没有生效?
    • 密码策略其实立即生效了,只是针对于之后创建的用户,之前的可以直接修改/etc/shadow

 

 

 

 

 

THE END