centos6.5 系统加固

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了centos6.5 系统加固相关的知识,希望对你有一定的参考价值。

一、账号安全控制

账号安全基本措施

1、系统账号清理

-将非登录用户的Shell设为/sbin/nologin

Useradd –s /sbin/nologin
Usermod -s

-锁定长期不使用的账号

Passwd –l
Passwd -u

-删除无用的账号

Userdel -r

-锁定账号文件passwd、shadow

[[email protected]~]# chattr +i /etc/passwd /etc/shadow
[[email protected]~]# lsattr /etc/passwd /etc/shadow  \\锁定文件并查看状态
----i-------e-/etc/passwd
----i-------e-/etc/shadow
 
 
[[email protected] ~]# chattr -i /etc/passwd /etc/shadow
[[email protected] ~]# lsattr /etc/passwd /etc/shadow  //解锁文件并查看状态
------------e- /etc/passwd
------------e- /etc/shadow


 

2、密码安全控制

-设置密码有效期

Useradd -e

-要求用户下次登录时修改密码

[r[email protected]~]# vi /etc/login.defs  //适用于新建用户
……
PASS_MAX_DAYS    30
[[email protected]~]# chage -M 30 lisi  //适用于已有用户
 
 
[[email protected] ~]# chage -d 0 zhangsan //强制在下次登录时更改密码


3、命令历史限制

-减少记录的命令条数

[[email protected]~]# vi /etc/profile
……
HISTSIZE=200

-注销时自动清空命令历史

[[email protected]~]# vi ~/.bash_logout
……
history-c
clear


 

4、终端自动注销

-闲置600秒后自动注销

[[email protected] ~]# vi ~/.bash_profile
……
export TMOUT=600

 

 

5、使用su命令切换用户

用途及用法

用途:Substitute User,切换用户

格式:su - 目标用户

-限制使用su命令的用户

-启用pam_wheel认证模块

[[email protected]~]# vi /etc/pam.d/su 
#%PAM-1.0
auth        sufficient  pam_rootok.so
auth        required    pam_wheel.so use_uid


 

--将允许使用su命令的用户加入wheel组

[[email protected] ~]# gpasswd -a tsengyia wheel
tsengyia
正在将用户“tsengyia”加入到“wheel”组中


 

 

6、使用sudo机制提升权限

用途:以其他用户身份(如root)执行授权的命令

用法:sudo 授权命令

-配置sudo授权

visudo或者 vi /etc/sudoers

记录格式:用户    主机名列表=命令程序列表

[[email protected]~]# visudo
……
%wheel                ALL=NOPASSWD: ALL
jerry             localhost=/sbin/ifconfig
syrianer                localhost=/sbin/*,!/sbin/ifconfig,!/sbin/route //可以使用通配符*、取反符号!
Cmnd_Alias        PKGTOOLS=/bin/rpm,/usr/bin/yum //类似别名还包括:
User_Alias、Host_Alias
mike                    localhost=PKGTOOLS


 

 

二、系统引导和登录控制

1、开关机安全控制

-调整Bios引导设置

--将第一引导设备设为当前系统所在硬盘

--禁止从其他设备(光盘、U盘、网络)引导系统

--将安全级别设为setup,并设置管理员密码

-禁用重启热键Ctrl+Alt+Del

[[email protected]~]# vi /etc/init/control-alt-delete.conf 
……
#starton control-alt-delete
 
#exec/sbin/shutdown -r now “Control-Alt-Delete pressed”
[[email protected]~]# reboot


 

-GRUB限制的实现

使用grub-md5-crypt获得加密字串

修改grub.conf文件,添加密码记录

[[email protected]~]# grub-md5-crypt
Password:
Retypepassword:  //重复指定密码
$1$Kndw50$wRW2w1v/jbZ8n5q2fON4y/


 

[[email protected] ~]# vi /boot/grub/grub.conf
……   //添加到第1个title之前
password --md5 $1$Kndw50$wRW2w1v/jbZ8n5q2fON4y/
title Red Hat Enterprise Linux (2.6.32-431.el6.x86_64)


2、终端登录安全控制

-减少开放终端个数

[[email protected]~]# vi /etc/init/start-ttys.conf
…… //省略部分内容
envACTIVE_CONSOLES=/dev/tty[456]   //禁用三个终端:tty1、tty2、tty3
[[email protected]~]# vi /etc/sysconfig/init
…… //省略部分内容
ACTIVE_CONSOLES=/dev/tty[456]
[[email protected]~]# reboot


-限制root只在安全终端登录

安全终端配置:/etc/securetty

[[email protected]~]# vi /etc/securetty
……   
tty1
tty2
tty3
tty4
#tty5
#tty6


  //禁止root用户从终端tty5、tty6登录

-禁止普通用户登录

--建立/etc/nologin文件

--删除nologin文件或重启后即恢复正常

[[email protected]~]# touch /etc/nologin  //禁止普通用户登录
[[email protected]~]# rm -rf /etc/nologin  //取消上述登录限制


 

三、口令检测、端口扫描

1、系统弱口令检测

Joth the Ripper,简称为 JR

一款密码分析工具,支持字典式的暴力破解

通过对shadow文件的口令分析,可以检测密码强度

官方网站:http://www.openwall.com/john/

安装JR工具

make clean 系统类型

主程序文件为 john

[[email protected]~]# tar zxf john-1.7.8.tar.gz
[[email protected]~]# cd john-1.7.8/src
[[email protected]]# make clean linux-x86-64
……
[[email protected]]# ls ../run/john
../run/john


检测弱口令账号

-- 获得Linux/Unix服务器的shadow文件

--执行john程序,将shadow文件作为参数

密码文件的暴力破解

--准备好密码字典文件,默认为password.lst

--执行john程序,结合--wordlist=字典文件

2、网络端口扫描

NMAP的扫描语法

nmap [扫描类型]  [选项]  <扫描目标 ...>

常用的扫描类型

-sS,TCP SYN扫描(半开)
-sT,TCP 连接扫描(全开)
-sF,TCP FIN扫描
-sU,UDP扫描
-sP,ICMP扫描
-P0,跳过ping检测
-p  端口号

 


本文出自 “JackeyGe” 博客,请务必保留此出处http://jackeyge.blog.51cto.com/12241288/1881500

以上是关于centos6.5 系统加固的主要内容,如果未能解决你的问题,请参考以下文章

Android 逆向整体加固脱壳 ( DEX 优化流程分析 | DexPrepare.cpp 中 dvmOptimizeDexFile() 方法分析 | /bin/dexopt 源码分析 )(代码片段

CentOS6.5修改/etc/pam.d/sshd后root无法ssh登陆

Hadoop伪分布式搭建

关于centos6.5系统安装FTP服务和配置的方法

日更第17日: (翻)nginx加固之防御缓冲区溢出攻击

系统加固之Linux安全加固