Linux作業系統加強

本文旨在指導系統管理人員或安全檢查人員進行Linux作業系統的安全合規性檢查和加強。

減少系統無用賬号，降低安全風險。

操作步驟

使用指令 <code>userdel &amp;lt;使用者名&amp;gt;</code> 删除不必要的賬号。

使用指令 <code>passwd -l &amp;lt;使用者名&amp;gt;</code> 鎖定不必要的賬号。

使用指令 <code>passwd -u &amp;lt;使用者名&amp;gt;</code> 解鎖必要的賬号。

檢查是否存在空密碼和root權限的賬号。

檢視空密碼和root權限賬号，确認是否存在異常賬号：

使用指令 <code>awk -F: '($2=="")' /etc/shadow</code> 檢視空密碼賬号。

使用指令 <code>awk -F: '($3==0)' /etc/passwd</code> 檢視UID為零的賬号。

加強空密碼賬号：

使用指令 <code>passwd &amp;lt;使用者名&amp;gt;</code> 為空密碼賬号設定密碼。

确認UID為零的賬号隻有root賬号。

加強密碼的複雜度等，降低被猜解的可能性。

使用指令 <code>vi /etc/login.defs</code> 修改配置檔案。

<code>PASS_MAX_DAYS 90 #建立使用者的密碼最長使用天數</code>

<code>PASS_MIN_DAYS 0 #建立使用者的密碼最短使用天數</code>

<code>PASS_WARN_AGE 7 #建立使用者的密碼到期提前提醒天數</code>

使用chage指令修改使用者設定。

例如，<code>chage -m 0 -M 30 -E 2000-01-01 -W 7 &amp;lt;使用者名&amp;gt;</code>表示将此使用者的密碼最長使用天數設為30，最短使用天數設為0，密碼2000年1月1日過期，過期前七天警告使用者。

設定連續輸錯三次密碼，賬号鎖定五分鐘。使用指令 <code>vi /etc/pam.d/common-auth</code>修改配置檔案，在配置檔案中添加 <code>auth required pam_tally.so onerr=fail deny=3 unlock_time=300</code>。

限制能su到root的使用者。

使用指令 <code>vi /etc/pam.d/su</code>修改配置檔案，在配置檔案中添加行。例如，隻允許test組使用者su到root，則添加 <code>auth required pam_wheel.so group=test</code>。

限制root使用者直接登入。

建立普通權限賬号并配置密碼,防止無法遠端登入;

使用指令 <code>vi /etc/ssh/sshd_config</code>修改配置檔案将PermitRootLogin的值改成no，并儲存，然後使用<code>service sshd restart</code>重新開機服務。

關閉不必要的服務（如普通服務和xinetd服務），降低風險。

使用指令<code>systemctl disable &amp;lt;服務名&amp;gt;</code>設定服務在開機時不自動啟動。

說明： 對于部分老版本的Linux作業系統（如CentOS 6），可以使用指令<code>chkconfig \--level &amp;lt;init級别&amp;gt; &amp;lt;服務名&amp;gt; off</code>設定服務在指定init級别下開機時不自動啟動。

對SSH服務進行安全加強，防止暴力破解成功。

使用指令 <code>vim /etc/ssh/sshd_config</code> 編輯配置檔案。

不允許root賬号直接登入系統。

設定 PermitRootLogin 的值為 no。

修改SSH使用的協定版本。

設定 Protocol 的版本為 2。

修改允許密碼錯誤次數（預設6次）。

設定 MaxAuthTries 的值為 3。

配置檔案修改完成後，重新開機sshd服務生效。

設定預設的umask值，增強安全性。

使用指令 <code>vi /etc/profile</code> 修改配置檔案，添加行 <code>umask 027</code>， 即新建立的檔案屬主擁有讀寫執行權限，同組使用者擁有讀和執行權限，其他使用者無權限。

設定系統登入後，連接配接逾時時間，增強安全性。

使用指令 <code>vi /etc/profile</code> 修改配置檔案，将以 <code>TMOUT=</code> 開頭的行注釋，設定為<code>TMOUT=180</code>，即逾時時間為三分鐘。

啟用日志功能，并配置日志記錄。

Linux系統預設啟用以下類型日志：

系統日志（預設）/var/log/messages

cron日志（預設）/var/log/cron

安全日志（預設）/var/log/secure

注意：部分系統可能使用syslog-ng日志，配置檔案為：/etc/syslog-ng/syslog-ng.conf。

您可以根據需求配置詳細日志。

通過腳本代碼實作記錄所有使用者的登入記錄檔，防止出現安全事件後無據可查。

1.打開配置檔案

2.在配置檔案中輸入以下内容：

運作加載配置生效。

注意： /var/log/history 是記錄日志的存放位置，可以自定義。

通過上述步驟，可以在 /var/log/history 目錄下以每個使用者為名建立一個檔案夾，每次使用者退出後都會産生以使用者名、登入IP、時間的日志檔案，包含此使用者本次的所有操作（root使用者除外）。

原文連結：https://www.jianshu.com/p/7f68e8cb51bc