ICode9
精准搜索请尝试: 精确搜索
首页
编程语言>
数据库
系统相关
互联网
其他分享
Python
Java
JavaScript
android
PHP
首页 > 系统相关> 文章详细

Linux安全加固

2019-06-23 19:42:38  阅读:553  来源: 互联网

标签:文件 etc umask 077 安全 ssh Linux 加固 pam


优化一些Linux参数,可以提升安全。

1、umask设置
在文件/etc/csh.login中设置 umask 077或UMASK 077
在文件/etc/profile中设置umask 077或UMASK 077
在文件/etc/csh.cshrc中设置 umask 077或UMASK 077
检查文件/etc/bashrc(或/etc/bash.bashrc)中设置 umask 077或UMASK 077
2、ssh登录警告设置。
1. 执行如下命令创建ssh banner信息文件:
#touch /etc/ssh_banner
#chown bin:bin /etc/ssh_banner
#chmod 644 /etc/ssh_banner
#echo " Authorized only. All activity will be monitored and reported " > /etc/ssh_banner
可根据实际需要修改该文件的内容。

2. 修改/etc/ssh/sshd_config文件,添加如下行:
Banner /etc/ssh_banner
3.重启sshd服务:
#/etc/init.d/sshd restart
3、禁止root远程telnet登录。
编辑 /etc/pam.d/login文件,配置auth required pam_securetty.so
4、禁止root远程ssh登录。
修改/etc/ssh/sshd_config文件,配置PermitRootLogin no,重启服务/etc/init.d/sshd restart
5、禁止root登录ftp。
1.编辑/etc/ftpusers(或/etc/vsftpd/ftpusers)文件
2.添加root
6、检查口令长度。
在文件/etc/login.defs中设置 PASS_MIN_LEN 不小于标准值
7、设置命令界面超时时间。
以root账户执行,vi /etc/profile,增加 export TMOUT=180(单位:秒,可根据具体情况设定超时退出时间,要求不小于180秒),注销用户,再用该用户登录激活该功能。
8、检查是否配置用户最小权限。
chmod 644 /etc/group
chmod 600 /etc/shadow
chmod 644 /etc/passwd
9、限制用户上传ftp文件属性。
如果系统使用vsftp:
修改/etc/vsftpd.conf(或者为/etc/vsftpd/vsftpd.conf)
# vi /etc/vsftpd.conf
确保以下行未被注释掉,如果没有该行,请添加:
write_enable=YES //允许上传。如果不需要上传权限,此项可不进行更改。
ls_recurse_enable=YES
local_umask=022 //设置用户上传文件的属性为755
anon_umask=022 //匿名用户上传文件(包括目录)的 umask
重启网络服务
# /etc/init.d/vsftpd restart
10、用户登录失败次数限制。
Redhat:
编辑/etc/pam.d/system-auth文件
配置:
auth required pam_tally.so deny=5 unlock_time=600
account required pam_tally.so

Suse9:
编辑/etc/pam.d/passwd文件
配置:
auth required pam_tally.so deny=5 unlock_time=600
account required pam_tally.so

Suse10,Suse11:
编辑/etc/pam.d/common-auth文件
配置:auth required pam_tally.so deny=5 unlock_time=600 no_lock_time
编辑/etc/pam.d/common-account文件
配置:account required pam_tally.so

参数说明:
deny #连续认证失败次数超过的次数
unlock_time #锁定的时间,单位为秒

 

标签:文件,etc,umask,077,安全,ssh,Linux,加固,pam
来源: https://www.cnblogs.com/tigergaonotes/p/11073907.html

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

关于我们 | 联系我们 | 留言反馈

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有