1. 账号和口令
禁用或删除无用账号
减少系统无用账号,降低安全风险。
操作步骤
1.cat /etc/shadow 查看有多少账户
2.使用命令 userdel <用户名> 删除不必要的账号。
3.使用命令 passwd -l <用户名> 锁定不必要的账号。
4.使用命令 passwd -u <用户名> 解锁必要的账号。
检查特殊账号
检查是否存在空口令和root权限的账号。
操作步骤
查看空口令和root权限账号,确认是否存在异常账号:
使用命令 awk -F: '($2=="")' /etc/shadow 查看空口令账号。
使用命令 awk -F: '($3==0)' /etc/passwd 查看UID为零的账号。 //root权限的账户
加固空口令账号:
使用命令 passwd <用户名> 为空口令账号设定密码。
确认UID为零的账号只有root账号。
添加口令策略
加强口令的复杂度等,降低被猜解的可能性。
操作步骤
使用命令 vi /etc/login.defs 修改配置文件。
PASS_MAX_DAYS 90 #新建用户的密码最长使用天数
PASS_MIN_DAYS 0 #新建用户的密码最短使用天数
PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数
vi /etc/pam.d/su //限制用户su
auth required pam_wheel.so group=test
禁止root账户远程登录:
sudo 相当于管理员用户运行
vi /etc/ssh/sshd_config
前面#删掉
PermitRootLogin的值改成no
重启sshd
systemctl enable 服务名 //开机自启动
systemctl disable 服务名 //开机不启动
chkconfig --list //查看启动服务
列出systemd服务,请执行 'systemctl list-unit-files'。
ssh服务安全
vim /etc/ssh/sshd_config //编辑ssh默认文件
不允许root用户远程登录
MaxAuthTries 的值为 3 //最大
重启sshd
设置文件系统umask值
vi /etc/profile 添加行 umask 027
登录超时
vi /etc/profile 修改配置文件,将以 TMOUT= 开头的行注释,设置为TMOUT=180,即超时时间为三分钟
记录用户的登录和日志
vim /etc/profile
history
USER=`whoami`
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]; then
USER_IP=`hostname`
fi
if [ ! -d /var/log/history ]; then
mkdir /var/log/history
chmod 777 /var/log/history
fi
if [ ! -d /var/log/history/${LOGNAME} ]; then
mkdir /var/log/history/${LOGNAME}
chmod 300 /var/log/history/${LOGNAME}
fi
export HISTSIZE=4096
DT=`date +"%Y%m%d_%H:%M:%S"`
export HISTFILE="/var/log/history/${LOGNAME}/${USER}@${USER_IP}_$DT"
chmod 600 /var/log/history/${LOGNAME}/*history* 2>/dev/null
运行source /etc/profile //使配置生效
date //查看系统时间
cat /etc/rsyslog.conf中查看是否存在
uname -sr //查看系统内核版本
日志
syslogd日志
启用日志功能,并配置日志记录。
操作步骤
Linux系统默认启用以下类型日志:
系统日志(默认)/var/log/messages
cron日志(默认)/var/log/cron
安全日志(默认) cat /var/log/secure
成功
失败
