LINUX基线要求及加固方法

最新推荐文章于 2025-06-17 19:13:50 发布
最新推荐文章于 2025-06-17 19:13:50 发布
阅读量1.5k 收藏 29
点赞数 20
CC 4.0 BY-SA版权
分类专栏: 安全运维 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vincent0920/article/details/135388367

《YDT 2701-2014 电信网和互联网安全防护基线配置要求及检测要求 操作系统  LINUX篇》

一、账号

应按照不同用户分配不同账号

检查/etc/passwd是否有只有root用户,应用应使用其他用户账号部署


限制用户su到root

编辑su文件(vi /etc/pam.d/su),在开头添加下面两行:

auth sufficient /lib/security/pam_rootok.so

auth required /lib/security/pam_wheel.so group=wheel

这表明只有wheel组的成员可以使用su命令成为root用户。


删除或锁定无关账号

使用删除或锁定的与工作无关的账号登录系统;
需要锁定的用户:listen,gdm,webservd,nobody,nobody4、noaccess。
vi /etc/passwd --修改需要锁定的用户登录方式为/bin/false


建立多账户组

cat /etc/passwd;cat /etc/group,检查是否有只有root用户组,应用应使用其他用户组部署

二、口令

密码创建要求是否配置

口令长度至少8 位,并包括数字、小写字母、大写字母和特殊符号4 类中至少3 类。
vi /etc/login.defs ,修改设置如下
PASS_MIN_LEN=8 #设定最小用户密码长度为8 位
vi /etc/pam.d/system-auth
password    requisite     pam_cracklib.so try_first_pass retry=3 minlen=8 ucredit=-1   lcredit=-1   dcredit=-3  ocredit=-1 #设定密码策略


帐户口令的生存期不长于90天

1、参考配置操作
vi /etc/login.defs
PASS_MAX_DAYS=90 #设定口令的生存期不长于90 天

注:该设置对已存在的用户的口令不产生影响,新建用户,默认密码会强制90天过期。

三、授权

配置用户最小授权

1、参考配置操作
通过 chmod 命令对目录的权限进行实际设置。
2、补充操作说明
/etc/passwd 必须所有用户都可读,root 用户可写 –rw-r—r—
/etc/shadow 只有root 可读 –r--------
/etc/group 须所有用户都可读,root 用户可写 –rw-r—r—
使用如下命令设置:
chmod 644 /etc/passwd
chmod 400 /etc/shadow
chmod 644 /etc/group


配置文件与目录缺省权限控制

设置默认权限:
vi /etc/login.defs 在末尾增加umask 027,将缺省访问权限设
置为750


用户 FTP 访问安全是否配置

<
最低0.47元/天 解锁文章

200万优质内容无限畅学
Linux安全基线加固实战
悦分享
01-11 604
另外,也可以这样设置:编辑 /etc/security/pwquality.conf,把 minlen(密码最小长度)设置为9-32位,把 minclass(至少包含小写字母、大写字母、数字、特殊字符等4类字符中等3类或4类)设置为3或4。--more etc/shadow查看是否存在adm、 lp. sync、 shutdown、 halt.、mail、 uucp、operator,、games.、gopher ftp等默认的、无用的用户。查看etc/passwd的非默认账户,询问分配的权限。
Linux 基线检查,安全加固脚本
韩伟的博客
12-29 2418
#!/bin/bash Author:韩伟 Date: 2019-12-29 实现对用户密码策略的设定,如密码最长有效期等 date=date +%Y-%m-%d read -p “是否设置密码策略[y/n]:” Y if [ "Y"=="y"];thenread−p"设置密码最多可多少天不修改:"Aread−p"设置密码修改之间最小的天数:"Bread−p"设置密码最短的长度:"Cread−p"...
系统安全配置技术规范-Linux基线加固
05-28
人工评估(手工检查)是对工具评估的一种补充, 它不需要在被评估目标系统上安装任何软件,对目标系统的运行和状态没有任何影响,在不允许安装软件进行检查的重要主机上显得非常有用。安全专家对各主机系统、服务器、业务系统、数据库以及各种应用服务器在内的目标系统进行人工评估。
Linux操作系统-基线检查与安全加固
最新发布
2503_91961258的博客
06-17 389
检查点:通过SSH禁止Root远程登录,使普通用户+sudo提权。:密码长度≥8位,复杂度包含大小写、数字、符号,有效期≤90天。安装libapam-pwquality并配置复杂度。:限制SSH访问、启用密钥认证、禁止Root登录。1.启用SELinux/AppArmor。:禁用Telnet、FTP等不安全服务。2.安装入侵检测工具(如AIDE):确保所有账户均有密码。
Linux基线加固
hl1293348082的专栏
04-09 998
主机安全的风险级别除了漏洞,另一个重要的参考值是安全基线的风险分值,本次介绍的主要是结合目前公司的业务实际情况制作的一份安全基线脚本,供大家进行参考。 适用环境 适用环境:RedHat系统Linux 注意 在配置系统基线测试之前,虚拟机一定要提前制作快照,配置测试期间尽量不要退出登录状态,以便出现差错的时候能够及时回退。 基线配置内容 /etc/pam.d/system-auth 是用户使用pam认证模块的登录策略配置文件,配置用户密码的复杂度、登录失败暂锁、重复使用密码次数等都是配置此文
Linux 安全基线检查与加固_linux基线加固
baimao__Ch的博客
08-21 3417
umask值(用户文件创建掩码)是在Linux和其他类Unix系统中使用的一个重要概念,用于控制用户在创建新文件或目录时,默认赋予这些文件或目录的权限。umask是一个由三个八进制数字组成的值,分别对应文件或目录的用户(owner)、组(group)、其他人(others)的权限位。每个数字分别代表要从默认的最大权限中移除的权限位。在八进制表示中,数字4表示读权限(r),2表示写权限(w),1表示执行权限(x),而0表示没有任何权限。
Linux基线检查与安全加固
m0_67284865的博客
06-17 4310
(连续认证5次会锁定账户,锁定300秒,root的话,5次失败,锁定600秒)用户连续认证失败次数设置为5次即合规,否则不合规。参考配置操作1.执行备份2.修改策略设置,编辑文件增加以下内容注意:unlock_time和root_unlock_time单位为秒。root下可查看因为验证登录失败的账户如果需要解锁的话,需要以root输入。
Linux系统安全配置基线
zdy0_2004的专栏
07-05 3555
http://www.cnblogs.com/sun-sunshine123/p/7119472.html 一:共享账号检查 配置名称:用户账号分配检查,避免共享账号存在 配置要求:1、系统需按照实际用户分配账号; 2、避免不同用户间共享账号,避免用户账号和服务器间通信使用的账号共享。 操作指南:参考配置操作:cat /etc/passwd查看当前所有用户的情况;
Linux系统基线加固脚本
04-25
Linux系统基线加固脚本
Linux基线加固.pdf
03-15
### Linux基线加固知识点 #### 一、理解基线加固的重要性 在IT行业中,系统安全性是维护企业数据安全的关键因素之一。随着网络安全威胁的日益增多,对于操作系统进行基线加固显得尤为重要。基线加固是指根据一定的...
等级保护2.0 Linux加固 Redhat 加固 基线
10-21
Linux的安全加固基线。从扫描器中导出的配置结果,提供了检查项目、配置命令等。能够为Linux提供较好的加固方案。
linux安全加固基线操作手册
11-13
Centos6.8 作为服务器操作系统安全加固参考文档,涉及较多、较全
安全加固基线大全
02-07
共33份基线文件,包括,主流操作系统安全加固基线,主流网络设备安全加固基线,主流中间件安全加固基线,主流数据库安全加固基线
Linux安全基线配置规范.docx
05-25
linux 安全加固配置,服务器,weblogic,oracle等,设置时根据实际情况配置,某些配置可能会引起一些风险
Linux 安全基线检查与加固
默默的博客
05-15 3151
虽然说Linux操作系统相比Windows系统更为安全一点,但是在实际使用当中,由于管理员的一些安全意识不够全面或者一时的疏忽,可能会导致Linux系统中的一些账户和服务没有进行正确的配置,这样就可能产生被黑客利用的风险,因此需要。
Linux基线安全加固操作实践
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
11-18 5397
工具篇 1、Pacct 设置日志文件可以对每个用户的每一条命令进行记录,这一功能默认是不开放的,为了打开它,需要安装pacct工具: accton命令是Linux系统进程管理命令之一,它的作用是打开进程统计,如果不带任何参数,即关闭进程统计,通过yum搜索,实际目前该工具已更名为:pasacct: cct是一个工具包,里面包含有针对用户连接时间、进程执行情况等进行统计的工具。它可以记录用户登录信...
linux 安全基线加固
whatday的专栏
03-12 4330
现在大多数企业都是使用linux作为服务器,不仅是linux是开源系统,更是因为linux比windows更安全。但是由于管理员的安全意识不全或者疏忽,导致linux的敏感端口和服务没有正确的配置,可能会被恶意利用,所以需要进行基线加固。 1.基线 即安全基线配置,诸如操作系统、中间件和数据库的一个整体配置,这个版本中各项配置都符合安全方面的标准。 比如在系统安装后需要按安全基线标准...
Linux主机安全基线加固
Kason_iWiki
09-15 1984
文章目录1.确保配置了bootloader配置的权限2.确保核心转储受到限制3.确保启用了地址空间布局随机化(ASLR)4.确保已配置SSH空闲超时间隔5.确保SSH MaxAuthTries设置为4或更低6.确保已禁用SSH空密码登录7.确保配置了密码尝试失败的锁定8.确保默认用户umask限制为027或更高9.确保默认用户shell超时为900秒或更短10.Nginx server_tokens基线11.Nginx未禁用隐藏文件12.OpenSSL版本1.0.2k ,存在漏洞 1.确保配置了bootlo
linux shell脚本 基线加固
weixin_45427650的博客
03-04 792
待完善!。。。 echo --------备份----------------------- cp /etc/login.defs /etc/login.defs.bak cp /etc/security/limits.conf /etc/security/limits.conf.bak cp /etc/pam.d/su /etc/pam.d/su.bak cp /etc/profile /et...
linux基线加固脚本
08-01
Linux基线加固脚本是一种自动化工具,用于提高Linux系统的安全性和保护系统免受潜在威胁。它可以通过执行一系列的安全策略和配置更改来减少系统的攻击面和脆弱性。 基线加固脚本的作用包括以下几个方面: 1. 安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值