Linux基线加固.pdf

### Linux基线加固知识点 #### 一、理解基线加固的重要性 在IT行业中，系统安全性是维护企业数据安全的关键因素之一。随着网络安全威胁的日益增多，对于操作系统进行基线加固显得尤为重要。基线加固是指根据一定的标准或指南，对系统的安全性进行评估和调整的过程，以确保系统符合最低的安全要求。 #### 二、基线加固的目标与作用 - **目标**：提高系统的安全性，减少潜在的安全风险。 - **作用**： - 防止未授权访问。 - 减少系统漏洞被利用的可能性。 - 提高系统稳定性及性能。 - 满足合规性要求。 #### 三、适用环境 本文档主要适用于基于Red Hat的Linux系统。在进行基线加固前，请确保已为虚拟机制作快照，并保持登录状态，以便出现问题时能快速恢复。 #### 四、基线配置关键点详解 ##### 1. 密码复杂度设置 - **配置文件**: `/etc/pam.d/system-auth` - **实现方法**: - 使用`pam_cracklib.so`模块设置密码复杂度。例如: ```sh password required pam_cracklib.so try_first_pass minlen=8 ``` - `minlen`参数用于设置密码最小长度。 ##### 2. 登录失败暂锁机制 - **配置文件**: - `/etc/pam.d/system-auth` - `/etc/pam.d/sshd` (针对SSH远程登录) - **实现方法**: - 使用`pam_tally.so`模块实现登录失败后暂时锁定账户的功能。例如: ```sh auth required pam_tally.so deny=5 unlock_time=600 even_deny_root root_unlock_time=3600 account required pam_tally.so ``` - `deny`参数设置连续登录失败次数。 - `unlock_time`设置解锁时间（秒）。 ##### 3. 密码重复使用限制 - **配置文件**: `/etc/pam.d/system-auth` - **实现方法**: - 使用`pam_unix.so`模块限制密码重复使用的次数。例如: ```sh password sufficient pam_unix.so remember=5 ``` - `remember`参数用于指定用户最近几次使用过的密码不再允许使用。 ##### 4. 设置登录超时退出 - **配置文件**: `/etc/profile` - **实现方法**: - 添加`TMOUT`变量设置登录超时自动退出时间。例如: ```sh TMOUT=600 export TMOUT ``` ##### 5. 密码策略与默认访问权限 - **配置文件**: `/etc/login.defs` - **实现方法**: - 设置密码时效性: - 最小长度8位。 - 最大使用时间90天。 - 最小使用天数6天。 - 提醒时间30天。 - 修改默认访问权限: - 对重要文件目录权限进行设置，例如: ```sh chmod 755 /etc ``` #### 五、注意事项与问题解决 - **权限设置过严导致的问题**: - 修改`/etc`目录权限可能导致系统无法正常登录。原因可能是`nscd`服务缓存无法正确读取`/etc/passwd`和`/etc/group`文件。 - 解决方案: - 关闭`nscd`服务并禁止其自启动。 - 调整目录权限至适当水平。 - **SSH登录问题**: - `connect reset by peer`错误通常由`/etc/ssh/`下的`key`文件权限过大引起。 - 解决方法:确保SSH配置文件权限正确，例如: ```sh chmod 600 /etc/ssh/ssh_host_* ``` - **禁止匿名及root登录FTP**: - 编辑`/etc/vsftpd/vsftpd.conf`: ```sh anonymous_enable=NO local_enable=YES write_enable=YES chroot_local_user=YES allow_writeable_chroot=YES ``` - 禁止root登录: ```sh root_login=NO ``` #### 六、日志审计与系统监控 - **安装日志服务**: - `syslog`、`rsyslog`或`syslog-ng`。 - **配置日志记录**: - 在`/etc/rsyslog.conf`或`/etc/syslog.conf`中添加规则: ```sh *.* /var/log/cron *.info;mail.none;authpriv.none;cron.none;daemon.none /var/adm/messages ``` - 在`/etc/syslog-ng/syslog-ng.conf`中添加规则: ```sh destination d_local1 { file("/var/log/cron"); }; log { source(s_all); facility(local1); destination(d_local1); }; ``` #### 七、其他安全设置 - **禁止非wheel组用户su为root**: - 在`/etc/pam.d/su`中添加: ```sh auth sufficient pam_rootok.soauth required pam_wheel.so group=wheel ``` Linux基线加固涉及多个方面的安全配置，包括密码策略、登录控制、日志审计等。这些配置有助于提高系统的安全性，降低潜在的安全风险。企业在实施基线加固时应根据自身情况灵活调整，并密切关注系统的稳定性和性能表现。