Linux安全加固
记录一次Linux安全加固的笔记
Liux安全加固
主要包括基线检查,做到防患于未然
身份鉴别加固
用户管理
删除多余,无用账户
cat /etc/passwd
cat /etc/shadow
userdel xxx
密码策略-1
检查空口令
awk -F: '$2 == "" {print $1}' /etc/shadow
修改密码
passwd xxx
口令有效期
vim /etc/login.defs
PASS_MAX_DAYS:密码最长有效期
PASS_MIN_DAYS:密码最短有效期
PASS_MAX_LEN:密码最小长度
PASS_WARN_AGE:口令失效前多少天通知用户
密码策略-2
口令强度
vim /etc/pam.d/system-auth
格式
password requisite pam_cracklib.so retry=3 difok=2 minlen=8 lcredit=-1 dcredit=-1
含义:
- retry 重试多少次后返回密码修改错误
- difok 本次密码与上次密码至少不同字符数
- minlen 密码最小长度 此配置优先于
login.defs
中的PASS_MIN_LEN
- ucredit 最少大写字母
- lcredit 最少小写字母
- ocredit 最少的字符数量
- dcrdeit 最少数字
密码策略-3
登录失败策略
vim /etc/pam.d/sshd
格式
auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=1800
含义
- even_deny_root 也限制root用户
- deny 最大次数,则锁定该用户
- unlock_time 设置普通用户锁定后,多少时间后解锁,单位是秒
- root_unlock_time设定root用户锁定后,多少时间后解锁,单位是秒
解锁
pam_tally2 --user=root --reset
访问控制加固
IP是否允许访问
允许
vim /etc/hosts.allow
sshd:192.168.142.*:allow
sshd:all:allow
sshd:192.168.142.74:allow
需要重启sshd服务
service sshd restart
拒绝
vim /etc/hosts.deny
sshd:192.168.142.*:deny
sshd:all:deny
sshd:192.168.142.74:deny
防范端口扫描
关闭不必要的端口
修改默认端口
vim /etc/ssh/sshd_config
防火墙策略
vim /etc/sysconfig/iptables (需要安装)
-A INPUT-p tcp --tcp-flags ALL FIN,URG,PSH -j REJECT
-A INPUT-p tcp --tcp-flags SYN,RST SYN,RST -j REJECT
-A INPUT-p tcp --tcp-flags SYN,FIN SYN,FIN -j
root权限控制-1
禁止root用户远程登录
vim /etc/ssh/sshd_config
# PermitRootLogin no
禁止其它用户su提权
vim /etc/pam.d/su
# 只允许wheel组用户
auth sufficient pam_rootok.so
auth required pam_wheel.so group=wheel
root权限控制-2
禁止其它用户sudo提权
visudo
# vi /etc/sudoers
禁止SUID提权
ll /usr/bin/passwd
find / -user root -perm -4000 -print 2>/dev/null
chmod ugo-s xx
安全审计加固
auditd审计
记录文件变化
/var/log/audit/audit.log
搜索日志帮助
ausearch -h
漏洞补丁加固
更新软件
- 列出可用的更新
yum check-update
- 查看可更新软件的详细信息
yum info updates
- 升级所有软件
yum upgrade
yum update
- 列出可用的安全补丁
yum updateinfo list updates security
常见安全产品
堡垒机(跳板机),WAF,防火墙,蜜罐,态势感知,终端安全管理系统EDR,VPN
自问自答
- 密码策略为什么没有生效?
- 密码策略其实立即生效了,只是针对于之后创建的用户,之前的可以直接修改
/etc/shadow
- 密码策略其实立即生效了,只是针对于之后创建的用户,之前的可以直接修改
版权声明:
作者:qiankong
链接:https://bravexist.cn/2023/11/linux-security-hardening.html
文章版权归作者所有,未经允许请勿转载。
THE END