Welcome!
欢迎光临!

Linux安全加固-认证授权

账号管理

管理账号

实施目的

根据不同类型用途设置不同账号,提高系统安全

安全风险

账号混淆,权限不明确,存在用户越权使用的可能。

系统当前状态

cat /etc/passwd 记录当前用户列表

实施步骤

 为用户创建账号:

#useradd username #创建账号

#passwd username #设置密码

修改权限:

#chmod 750 directory

#其中 755 为设置的权限,可根据实际情况设置相应的权限,directory 是要更改权限的目录如/home/heyi

使用该命令为不同的用户分配不同的账号,设置不同的口令及权限信息等。

回退方案

删除新增加的帐户

判断依据

标记用户用途,定期建立用户列表,比较是否有非法用户

管理默认账号权限

实施目的

1、删除系统不需要的默认帐号

2、更改危险帐号缺省的 shell 变量

安全风险

允许非法利用系统默认账号

系统当前状态

cat /etc/passwd 记录当前用户列表

cat /etc/shadow 记录当前密码配置

实施步骤

参考配置操作:

# userdel lp

# groupdel lp

如果下面这些系统默认帐号不需要的话,建议删除。

lp, sync, shutdown, halt, news, uucp, operator, games, gopher

实施步骤:

1、检查系统帐号的 shell 变量,例如 aemon,bin,sysadmlp

uucpnuucpsmmsp uucpftpnews 等,还有一些仅仅需要 FTP 功能的帐号,不能设置/bin/bash 或者/bin/sh Shell 变量。

2、在/etc/passwd 中将它们的 shell 变量设为/bin/false 或者/dev/null /sbin/nologin.

也可以使用usermod -s /dev/null username 命令来更改 shell

回退方案

恢复账号或者 SHELL

判断依据

如上述用户不需要,则锁定。

禁止root权限远程登录

实施目的

1、限制具备超级管理员权限的用户远程登录。

2、需远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账号。

安全风险

允许 root 远程非法登陆,存在root账号被暴力破解危险

系统当前状态

cat /etc/ssh/sshd_config

cat /etc/securetty

实施步骤

参考配置操作

#vi /etc/ssh/sshd_config

修改PermitRootLogin yes改为PermitRootLogin no

重启 sshd 服务

#service sshd restart

/etc/securetty文件中配置:CONSOLE = /dev/tty01

回退方案

还原配置文件

/etc/ssh/sshd_config

判断依据

/etc/ssh/sshd_config PermitRootLogin no

检查空口令账号

编号

 

名称

检查空口令账号

实施目的

禁止空口令用户

安全风险

用户直接登录系统

系统当前状态

cat /etc/passwd

awk -F: ‘($2 == “”){print $1}’ /etc/passwd

awk -F: ‘($2 == “”){print $1}’ /etc/passwd

实施步骤

root 用户登陆 Linux 系统,执行 passwd 命令,给用户增加口令。

回退方案

Root 身份设置用户口令,取消口令

注意:如有口令策略则失败

判断依据

Cat /etc/passwd

检查特权账号

实施目的

检查是否存在除 root 之外 UID 0 的用户

安全风险

账号权限过大,容易被非法利用

系统当前状态

awk -F: ‘($3 == 0) { print $1 }’ /etc/passwd

实施步骤

删除 root 以外的 UID 0 的用户

回退方案

判断依据

返回值包括“root”以外的条目,则低于安全要求

口令管理

修改口令策略

实施目的

防止系统弱口令的存在,减少安全隐患。对于采用静态口令认证技术的设备,口令长度至少 8 位。

安全风险

弱口令增加密码被暴力破解的成功率

系统当前状态

cat /etc/login.defs

实施步骤

# vi /etc/login.defs

将配置参数修改成如下内容:

PASS_MAX_DAYS   99999

PASS_MIN_DAYS   0

PASS_MIN_LEN    8

PASS_WARN_AGE   7

注:实际工作中发现修改密码生存时间后容易照成管理员遗忘密码,因此本次加固不做强制要求。

回退方案

vi /etc/login.defs ,修改设置到系统加固前状态。

判断依据

cat /etc/login.defs查看默认口令策略

文件与授权

关键目录权限

实施目的

在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。

安全风险

非法访问文件

系统当前状态

运行 ls al /etc/ 记录关键目录的权限

实施步骤

1、参考配置操作

通过 chmod 命令对目录的权限进行实际设置。

2、补充操作说明

默认下述文件权限如下,如不正确应修改:

/etc/passwd rw-rr

/etc/shadow r——–

/etc/group rw-rr

使用如下命令设置:

chmod 644 /etc/passwd

chmod 600 /etc/shadow

chmod 644 /etc/group

3、其他文件权限待补充

回退方案

通过 chmod 命令还原目录权限到加固前状态。

判断依据

[root@test1 ~]# ls -al /etc/passwd | grep ‘^…-.–.–‘

-rw-r–r– 1 root root 1611 Jul 15 00:27 /etc/passwd

[root@test1 ~]# ls -al /etc/group | grep ‘^…-.–.–‘

-rw-r–r– 1 root root 671 Jul 15 00:27 /etc/group

[root@test1 ~]# ls -al /etc/shadow | grep ‘^…——-‘

-r——– 1 root root 1000 Jul 15 00:36 /etc/shadow

默认文件权限

实施目的

控制用户默认创建文件和目录访问权限,防止同属于该组的其它用户及其他组的用户修改该用户的文件

安全风险

非法访问目录

系统当前状态

more /etc/profile

more /etc/csh.login

more /etc/csh.cshrc

more /etc/bashrc

检查是否包含 umask

实施步骤

1、参考配置操作

设置默认权限:

vi /etc/profile

vi /etc/csh.login

vi /etc/csh.cshrc

vi /etc/bashrc

在末尾增加 umask 027

回退方案

修改为加固前状态

more /etc/profile

more /etc/csh.login

more /etc/csh.cshrc

more /etc/bashrc

判断依据

umask 是否为027还是默认的022

用户资源限制

实施目的

限制用户对系统资源的使用,避免拒绝服务(如:创建很多个进程、消耗系统的内存,等等)

安全风险

拒绝服务攻击

系统当前状态

Cat /etc/security/limits.conf

Cat /etc/pam.d/login

实施步骤

1、参考配置操作

Ø  第一步

编辑“limits.conf”文件(vi /etc/security/limits.conf),添加需要限制的普通用户,格式如下:

@heyi     soft  core        0

@heyi     hard nproc      30

@heyi            maxlogins       5

core 0”表示禁止创建 core 文件;

nproc 30”把最多进程数限制到 30

maxlogins”表示此用户最多登录数

Ø  第二步

检查/etc/pam.d/login”文件,pam_limits.so配置是否如下:

session required /lib/security/pam_limits.so

回退方案

/etc/security/limits.conf

/etc/pam.d/login

恢复加固前状态

判断依据

/etc/security/limits.conf是否定义了对用户的限制

备注

会限制账号所用资源,不要配置应用服务账号

设置关键文件属性

实施目的

增强关键文件的属性,减少安全隐患

使轮循的 messages 文件不可更改

安全风险

非法访问目录,或者删除日志风险

系统当前状态

# lsattr /var/log/messages

# lsattr /var/log/messages.*

# lsattr /etc/shadow

# lsattr /etc/passwd

# lsattr /etc/group

实施步骤

1、参考配置操作

# chattr +a /var/log/messages

# chattr +i /var/log/messages.*

# chattr +i /etc/shadow

# chattr +i /etc/passwd

# chattr +i /etc/group

建议管理员对关键文件进行特殊设置(不可更改或只能追加等)

建议此项在建完账号后用,避免报错。

回退方案

使用 chattr 命令还原被修改权限的目录。

判断依据

# lsattr /var/log/messages

# lsattr /var/log/messages.*

# lsattr /etc/shadow

# lsattr /etc/passwd

# lsattr /etc/group

判断上述文件属性

Su权限控制

 

实施目的

避免任何人可以 su root,减少安全隐患。

安全风险

用户提权

系统当前状态

Cat /etc/pam.d/su

实施步骤

1、参考配置操作

编辑vi /etc/pam.d/su 增加或修改下述配置:

auth            sufficient      pam_rootok.so

auth           required        pam_wheel.so use_uid

这表明只有 wheel 组的成员可以使用 su 命令成为 root 用户。可以将需要用su用户添加到 wheel

root 用户。添加方法为:

# chmod –G10 username

回退方案

恢复/etc/pam.d/su 到加固前状态。

判断依据

Cat /etc/pam.d/su

备注

不适合游戏口袋环境

赞(1)
未经允许不得转载:fuRyZ's Blog » Linux安全加固-认证授权

评论 抢沙发

评论前必须登录!

 

登录

找回密码

注册