系统安全之Linux篇 @hotmail.com系统安全之Linux篇 Cuci2010-08-05Linux系统安全规范 ....................................................................................................... 2 基本原则 ....................................................................................................................... 2 账号和口令安全 ........................................................................................................... 2 账户安全:............................................................................................................ 2 口令安全:............................................................................................................ 2 系统参数、属性设置 ................................................................................................... 3 对设置了SUID, SGID文件的处理 .................................................................................. 4 远程登录 ....................................................................................................................... 4 SSH ......................................................................................................................... 4 key方式登录: ...................................................................................................... 5 登陆banner ............................................................................................................ 5 磁盘和文件系统 ........................................................................................................... 5 服务安全 ....................................................................................................................... 6 日志 ............................................................................................................................... 6 内核参数 ....................................................................................................................... 6 入侵检测与防护 ........................................................................................................... 7 Tripwire .................................................................................................................. 7 Linux下的安全检查 ..................................................................................................... 13 什么时候需要进行网络扫描.............................................................................. 13 Nessus介绍 .......................................................................................................... 13 附:PAM配置简介 ...................................................................................................... 22 PAM模块类型...................................................................................................... 22 PAM控制标志...................................................................................................... 23 PAM模块.............................................................................................................. 23 1 系统安全之Linux篇 Linux系统安全规范 基本原则 1.及时更新服务,以防止最新威胁2.尽可能使用安全的协议3.尽可能把服务模块区分到不同的server上4.严格监控所有server以便及时发现异常行为5.订阅系统相关的安全邮件列表账号和口令安全 账户安全: 1.为每个系统维护人员建立一个独立的普通权限帐号,为监控机建立监控帐号,分别用于日常系统维护和系统监控;2.系统安装后可能存在许多无用用户,这些用户可能会被黑客利用,所以应该立即删除,例如:无用用户:uucp,mail,news,pcap,lp,sync,ntp,vcsa,shutdown,halt,ftp,operator无用组:gamer,pcap,rpcuser,vcsa,smmsp,mailnull,ntp,lp,wheel,mail,news3.FTP服务器配置虚拟帐号;4.禁止除root帐号、系统维护人员帐号和监控机帐号之外所有帐号使用SHELL的权限;5.锁定临时不用帐号;锁定:passwd–lusername/*或者usermod–Luername*/解锁:passwd–uusername/*或者usermod–Uuername*/6.如果系统管理员离职则必须立即删除其用户,并更改超级管理员口令口令安全: 1.口令强度8位以上,包换字母(大小写混杂),数字和特殊符号,禁止英文单词;2.PAM配置:在文件/etc/pam.d/system-auth中配置passwordrequisitepam_cracklib.sotry_first_passretry=3minlen=8lcredit=-1ucredit=-1dcredit=-1ocredit=-1minlen=8:passwd最小长度为8 2 系统安全之Linux篇 lcredit=-1:小写字母最少1位ucredit=-1:大写字母最少1位dcredit=-1:数字最少1位ocredit=-1:其他字符最少1位3.更改频率每季度更改一次;配置新建帐户的默认更改频率:在文件/etc/login.defs中设置PASS_MAX_DAYS=90修改当前用户的更改频率:chage–M120username注:更改文件:/etc/login.defs配置默认口令属性:PASS_MAX_DAYS99999设置密码过期日期PASS_MIN_DAYS0设置密码最少更改日期PASS_MIN_LEN5设置密码最小长度PASS_WARN_AGE7设置过期提前警告天数4.历史:5次配置:在文件/etc/pam.d/system-auth中配置passwordrequisitepam_cracklib.sotry_first_passretry=3minlen=8lcredit=-1ucredit=-1dcredit=-1ocredit=-1difok=3/*新密码和旧密码不能有3个以上字符重复*/passwordsufficientpam_unix.somd5shadownulloktry_first_passuse_authtokremember=5/*以前的5次之内的密码不能使用*/注:此设置如果要生效还依赖于一个文件:/etc/security/opasswd,如果不存在,自己创建touch/etc/security/opasswdchownroot:root/etc/security/opasswdchmod600/etc/security/opasswd5.当用户试图登陆多次失败后,锁定此用户(suorlogin5次失败锁定)在文件/etc/pam.d/system-auth中配置:authrequisitepam_tally.soper_useronerr=faildeny=4unlock_time=3600注:超过4次错误就会lock user,为了防止拒绝服务攻击,加入per_user参数 6.推荐选择口令方法:可以想写句子或者古诗,取每个单词首个字母。系统参数、属性设置 1.TMOUT:设置该环境变量以防使用root用户但是忘记退出,方法:例:exportTMOUT=3600/*无交互操作一小时后退出*/ 3 系统安全之Linux篇 2.更改shell历史长度:编辑文件/etc/profile,更改条目:HISTFILESIZE=30HISTSIZE=30,将这两个参数改为小值可以保证.bash_history文件中不会存储过多以前使用过的命令。这两个变量之间的差别不是那么明确.简述如下:HISTFILESIZE定义了在.bash_history中保存命令的记录总数.HISTSIZE定义了history命令输出的记录数.HISTTIMEFORMAT则定义了执行命令的时间格式,典型的配