1、 身份鉴别
1.1、系统用户密码安全策略
1.1.1、密码复杂度及有效期
#查看有无PASS_MIN_LEN条目的设置
cat /etc/login.defs
#备份方法
cp /etc/login.defs /etc/login.defs_bak
#加固方法
vim /etc/login.defs
#设置密码最小长度8位
PASS_MIN_LEN 8
#设置密码过期时间为60天
PASS_MAX_DAYS 60
1.1.2、设置账户锁定登录失败锁定次数、锁定时间
#加固方法
vim /etc/pam.d/system-auth
#设置为密码连续错误6次锁定,锁定时间300秒
auth required pam_tally.so onerr=fail deny=6 unlock_time=300
注意:锁定用户faillog -u<用户名> -r风险:需要PAM包的支持;对pam文件的修改应仔细检查,一旦出现错误会导致无法登录;当系统验证出现问题时,首先应当检查/var/log/messages者/var/log/secure中的输出信息,根据这些信息判断用户账户的有效性。
1.2、禁止root用户远程登录
#vim /etc/ssh/sshd_config
PermitRootLogin no
#保存后重启ssh服务
service sshd restart
1.3、禁止用户使用su
#禁止非whell组用户切换到root
vim /etc/pam.d/su
auth required /lib/security/$ISA/pam_wheel.so use_uid
echo "SU_WHEEL_ONLY yes" >> /etc/login.defs
1.4、创建ssh登录用户
因为限制root直接登录,统一创建sysyunwei或sa用户用于ssh登录,特殊权限可以配置sysyunwei或sa用户加入wheel组,su到超级用户。
1.5、密码错误锁定
配置要求参考密码安全策略1.1.1
1.6、环境变量检查
echo $PATH
cat /etc/profile
检查是否有可凝的路径参数
1.7、修改账户TMOUT值,设置自动注销时间
vim /etc/profile
#无操作600秒后自动退出
TMOUT=600
1.8、远程登录禁止明文传输
禁止用Telnet服务,启用SSH服务进行远程登录。
1.9、中间件控制台安全加固
严禁中间件控制台使用默认端口号,默认url,初始密码,重要业务系统需要禁止用控制台。
操作步骤:
禁止用tomcat管理界面,生产环境一般不适用Tomcat默认的管理界面,这些页面存放在Tomcat的webapps安装 目录下,把该目录下的所有文件删除即可:
rm -rf /home/app/tomcat8/webapps/*
另外删除相关的配置文件 host-manager.xml和manager.xml,在Tomcat安装目录conf/Catalina/localhost目录下。
注释或删除tomcat_user.xml中的所有的用户权限。
2、用户权限管理
2.1、最小权限
账号授权“最小权限”原则,即以其能进行系统管理,操作的最小权限进行授权
2.2、分配原则
账号对应部门岗位或账号用途,不对应人员名称,人员的更换不对用户名称产生影响。如应用app,日志loguser,不可创建为人名,如zhangsan.
2.3、划分细则
岗位职责或账号用途 账号名称建议
应用用户 app
系统管理员用户 sysyunwei或sa
审计用户 audit
日志用户 loguser
3 恶意代码防范
3.1、Linux主机防范恶意代码软件
3.1.1、统一部署clamav防病毒软件
3.1.2、病毒库定期离线更新:在官网下载最新的三个main.cvd、daily.cvd、bytecode.dvc文件。
3.2、安装配置文件完整性工具
统一部署tripwire由管理员定期扫描系统,并将日志发生给审计管理员,有审计管理员查看并分析文件变更记录。
3.2.1、安装步骤:
3.2.2、扫描
#初次扫描
tripwire -m i -s -c tw.cfg
#定期扫描
tripwire -m c -s -c /etc/tripwire/tw.cfg
3.2.3、扫描结果发生审计管理员
cp /var/lib/tripwire/report/* /home/audit
4、主机安全管理
4.1、 OpenSSH漏洞
依靠漏洞扫描系统,关注系统安全漏洞
下载最新文档版本的openssh
4.2、扫描设定定期漏扫
主机系统定期,每隔3月左右扫描一次
