1 操作系统安全加固

标签：网络数   com   不响应   修改   graph   用户登录   执行命令   export   目录   

1.1 Linux安全加固... vi

1.1.1 对系统账号进行登录限制... vi

1.1.2 设置登录超时时间... vii

1.1.3 设置关键目录的权限... viii

1.1.4 设置关键文件的属性... ix

1.1.5 修改umask 值... xi

1.1.6 记录用户登录信息... xii

1.1.7 记录系统安全事件... xiii

1.1.8 记录系统服务日志... xv

1.1.9 更改主机解析地址的顺序... xvi

1.1.10 打开 syncookie. xvii

1.1.11 不响应ICMP请求... xviii

1.1.12 防syn 攻击优化... xviii

1.1.13 禁止ICMP重定向... xix

1.1.14 关闭网络数据包转发... xx

1.1.15 补丁装载... xxi

1.1.16 禁用无用inetd/xinetd服务... xxii

1.1.17 为空口令用户设置密码... xxiii

1.1.18 删除root之外 UID 为0 的用户... xxiv

1.1.19 缺省密码长度限制... xxv

1.1.20 缺省密码生存周期限制... xxvi

1.1.21 口令过期提醒

1.1 Linux安全加固

 1.1.1 对系统账号进行登录限制

实施目的

对系统账号进行登录限制，确保系统账号仅被守护进程和服务使用。

问题影响

可能利用系统进程默认账号登陆，账号越权使用。

系统当前状态

cat /etc/passwd 查看各账号状态。

实施步骤

一．执行命令

# chsh username -s /bin/false

此命令通过修改用户的shell来禁止用户登录；

对于suse操作系统使用/bin/false，其他操作系统使用/sbin/nologin

二．补充操作说明

1.禁止交互登录的系统账号，比如daemon、bin、sys、adm、lp、

uucp、nuucp、smmsp等等

2.数据库用户mysql需要禁止登录

3.禁止所有用户登录。

touch /etc/nologin

除root以外的用户不能登录了。

回退方案

将用户的shell修改成原来的。

判断依据

/etc/passwd 中的禁止登陆账号的shell 是 /bin/false

  1.1.2 设置登录超时时间

实施目的

对于具备字符交互界面的设备，应配置定时帐户自动登出。

问题影响

管理员忘记退出被非法利用。

系统当前状态

查看/etc/profile 文件的配置状态，并记录。

实施步骤

编辑文件/etc/profile

#vi /etc/profile

文件末尾增加如下行：

TMOUT=180

export TMOUT

改变这项设置后，重新登录才能有效。

回退方案

修改/etc/profile 的配置到加固之前的状态。

判断依据

TMOUT=180

 TMOUT=180单位秒

1 操作系统安全加固

标签：网络数   com   不响应   修改   graph   用户登录   执行命令   export   目录   

原文地址：http://blog.51cto.com/sf1314/2064733