centos6.5 系统加固

前端之家收集整理的这篇文章主要介绍了centos6.5 系统加固前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。

一、账号安全控制

账号安全基本措施

1、系统账号清理

-将非登录用户的Shell设为/sbin/nologin

Useradd�Cs/sbin/nologin
Usermod-s

-锁定长期不使用的账号

Passwd�Cl
Passwd-u

-删除无用的账号

Userdel-r

-锁定账号文件passwd、shadow

[root@localhost~]#chattr+i/etc/passwd/etc/shadow
[root@localhost~]#lsattr/etc/passwd/etc/shadow\\锁定文件并查看状态
----i-------e-/etc/passwd
----i-------e-/etc/shadow


[root@localhost~]#chattr-i/etc/passwd/etc/shadow
[root@localhost~]#lsattr/etc/passwd/etc/shadow//解锁文件并查看状态
------------e-/etc/passwd
------------e-/etc/shadow


2、密码安全控制

-设置密码有效期

Useradd-e

-要求用户下次登录修改密码

[root@localhost~]#vi/etc/login.defs//适用于新建用户
……
PASS_MAX_DAYS30
[root@localhost~]#chage-M30lisi//适用于已有用户


[root@localhost~]#chage-d0zhangsan//强制在下次登录时更改密码


3、命令历史限制

-减少记录的命令条数

[root@localhost~]#vi/etc/profile
……
HISTSIZE=200

-注销时自动清空命令历史

[root@localhost~]#vi~/.bash_logout
……
history-c
clear


4、终端自动注销

-闲置600秒后自动注销

[root@localhost~]#vi~/.bash_profile
……
exportTMOUT=600

5、使用su命令切换用户

用途及用法

用途:Substitute User,切换用户

格式:su - 目标用户

-限制使用su命令的用户

-启用pam_wheel认证模块

[root@localhost~]#vi/etc/pam.d/su
#%PAM-1.0
authsufficientpam_rootok.so
authrequiredpam_wheel.souse_uid


--将允许使用su命令的用户加入wheel组

[root@localhost~]#gpasswd-atsengyiawheel
tsengyia
正在将用户“tsengyia”加入到“wheel”组中


6、使用sudo机制提升权限

用途:以其他用户身份(如root)执行授权的命令

用法sudo 授权命令

-配置sudo授权

visudo或者 vi/etc/sudoers

记录格式:用户 主机名列表=命令程序列表

[root@localhost~]#visudo
……
%wheelALL=NOPASSWD:ALL
jerrylocalhost=/sbin/ifconfig
syrianerlocalhost=/sbin/*,!/sbin/ifconfig,!/sbin/route//可以使用通配符*、取反符号!
Cmnd_AliasPKGTOOLS=/bin/rpm,/usr/bin/yum//类似别名还包括:
User_Alias、Host_Alias
mikelocalhost=PKGTOOLS


7、修改ssh端口号,禁止root远程登录


二、系统引导和登录控制

1、开关机安全控制

-调整BIOS引导设置

--将第一引导设备设为当前系统所在硬盘

--禁止从其他设备(光盘、U盘、网络)引导系统

--将安全级别设为setup,并设置管理员密码

-禁用重启热键Ctrl+Alt+Del

[root@localhost~]#vi/etc/init/control-alt-delete.conf
……
#startoncontrol-alt-delete

#exec/sbin/shutdown-rnow“Control-Alt-Deletepressed”
[root@localhost~]#reboot


-GRUB限制的实现

使用grub-md5-crypt获得加密字串

修改grub.conf文件添加密码记录

[root@localhost~]#grub-md5-crypt
Password:
Retypepassword://重复指定密码
$1$Kndw50$wRW2w1v/jbZ8n5q2fON4y/


[root@localhost~]#vi/boot/grub/grub.conf
……//添加到第1个title之前
password--md5$1$Kndw50$wRW2w1v/jbZ8n5q2fON4y/
titleRedHatEnterpriseLinux(2.6.32-431.el6.x86_64)


2、终端登录安全控制

-减少开放终端个数

[root@localhost~]#vi/etc/init/start-ttys.conf
……//省略部分内容
envACTIVE_CONSOLES=/dev/tty[456]//禁用三个终端:tty1、tty2、tty3
[root@localhost~]#vi/etc/sysconfig/init
……//省略部分内容
ACTIVE_CONSOLES=/dev/tty[456]
[root@localhost~]#reboot


-限制root只在安全终端登录

安全终端配置:/etc/securetty

[root@localhost~]#vi/etc/securetty
……
tty1
tty2
tty3
tty4
#tty5
#tty6


//禁止root用户从终端tty5、tty6登录

-禁止普通用户登录

--建立/etc/nologin文件

--删除nologin文件或重启后即恢复正常

[root@localhost~]#touch/etc/nologin//禁止普通用户登录
[root@localhost~]#rm-rf/etc/nologin//取消上述登录限制


三、口令检测、端口扫描

1、系统弱口令检测

Joth the Ripper,简称为 JR

一款密码分析工具,支持字典式的暴力破解

通过对shadow文件的口令分析,可以检测密码强度

官方网站:http://www.openwall.com/john/

安装JR工具

make clean 系统类型

主程序文件为 john

[root@localhost~]#tarzxfjohn-1.7.8.tar.gz
[root@localhost~]#cdjohn-1.7.8/src
[root@localhostsrc]#makecleanlinux-x86-64
……
[root@localhostsrc]#ls../run/john
../run/john


检测弱口令账号

-- 获得Linux/Unix服务器的shadow文件

--执行john程序,将shadow文件作为参数

密码文件的暴力破解

--准备好密码字典文件,默认为password.lst

--执行john程序,结合--wordlist=字典文件

2、网络端口扫描

NMAP的扫描语法

nmap[扫描类型] [选项] <扫描目标 ...>

常用的扫描类型

-sS,TCPSYN扫描(半开)
-sT,TCP连接扫描(全开)
-sF,TCPFIN扫描
-sU,UDP扫描
-sP,ICMP扫描
-P0,跳过ping检测
-p端口号

猜你在找的CentOS相关文章