一、账号口令

1 配置口令最小长度

    在文件/etc/login.defs中设置 PASS_MIN_LEN,参考值:8

2 配置口令生存周期

    在文件/etc/login.defs中设置 PASS_MAX_DAYS,参考值:90

3 配置密码复杂度策略

    CentOS系统:修改/etc/pam.d/system-auth文件, 在ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 选3种,追加到password requisite pam_cracklib.so后面,添加到配置文件中。 
    例如:password requisite pam_cracklib.so ucredit=-1 lcredit=-1 dcredit=-1 
    注:ucredit:大写字母个数;lcredit:小写字母个数;dcredit:数字个数;ocredit:特殊字符个数

4 限定用户su到root

    编辑su文件(vi /etc/pam.d/su),在开头添加下面两行: 
    auth sufficient pam_rootok.so 
    auth required pam_wheel.so group=wheel

这表明只有wheel组的成员可以使用su命令成为root用户。

二、认证授权

1 设置文件与目录缺省权限

    在文件/etc/profile中设置umask 默认:022,可改为027

2 设置命令行界面超时退出

    编辑/etc/profile,增加 export TMOUT=300(单位:秒),重新登录时生效

3 禁止root用户远程ssh登录

修改/etc/ssh/sshd_config文件,配置PermitRootLogin no 重启sshd服务生效

4 启用syslog日志审计

    编辑/etc/rsyslog.conf, 配置: authpriv.* /var/log/secure 并手动创建该文件,重启rsyslog生效

三、协议安全

1 禁止FTP匿名用户登录

编辑/etc/vsftpd.conf(或/etc/vsftpd/vsftpd.conf)文件,设置:anonymous_enable=NO

2 禁止root登录VSFTP

编辑/etc/ftpusers(或/etc/vsftpd/ftpusers)文件,添加root

3 SSH配置非22端口,禁用telnet协议

四、其他

1 删除.netrc 文件

查找,find / -maxdepth 3 -name .netrc 2>/dev/null,重命名或者删除

2 删除hosts.equiv文件

find / -maxdepth 3 -name hosts.equiv 2>/dev/null

3 删除.rhosts 文件

find / -maxdepth 3 -name .rhosts 2>/dev/null

4 关闭不必要的服务和端口

chkconfig --list

chkconfig [--level levels] 服务名 off

5 删除系统banner信息,避免泄漏操作系统泄漏

删除或重命名"/etc"目录下的 issue.net 和 issue 文件: 
    mv /etc/issue /etc/issue.bak 
    mv /etc/issue.net /etc/issue.net.bak

6 服务软件隐藏版本号等关键信息,并定期升级

Linux主机安全配置规范的更多相关文章

  1. Linux主机安全配置的几个脚本【转载】

    标签:linux Linux主机安全配置的几个脚本 职场 休闲原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 .作者信息和本声明.否则将追究法律责任.http://hx100.blog ...

  2. Linux主机操作系统加固规范

      对于企业来说,安全加固是一门必做的安全措施.主要分为:账号安全.认证授权.协议安全.审计安全.总的来说,就是4A(统一安全管理平台解决方案),账号管理.认证管理.授权管理.审计管理.用漏洞扫描工具 ...

  3. Linux网络属性配置

    目录 IP地址分类 如何将Linux主机接入到网络中 网络接口的命名方式 ifcfg系列命令 如何配置主机名 如何配置DNS服务器指向 iproute2系列命令 Linux管理网络服务 永久生效配置路 ...

  4. 一步步实现Nagios监控linux主机及飞信报警

    一步步实现Nagios监控linux主机及飞信报警 上篇文章介绍了在linux主机上架设nagios监控服务,并对windows主机进行服务状态变化的监控,这次我们继续上次内容.      首先实现n ...

  5. zabbix通过snmp监控linux主机

    1.安装net-snmp [root@db01 ~]# yum install -y net-snmp 2.修改配置文件 [root@db01 ~]# vim /etc/snmp/snmpd.conf ...

  6. linux环境下配置虚拟主机域名

    linux环境下面配置虚拟主机域名 第一步:在root目录下面(即根目录)ls(查看文件)cd进入etc目录find hosts文件vi hosts 打开hosts文件并进行编辑在打开的文件最下面添加 ...

  7. Nagios配置—添加linux主机监控

    nagios安装请参看:Nginx平台安装Nagios监控服务 下面是我添加linux监控机的过程,如有错误或者不当的地方请指出: 测试环境: 监控主机:nagios+nagios插件+nrpe+网站 ...

  8. redhat 安装配置samba实现win共享linux主机目录

    [转]http://blog.chinaunix.net/uid-26642180-id-3135941.html redhat 安装配置samba实现win共享linux主机目录 2012-03-1 ...

  9. linux主机下的Vmware Workstation配置NAT设置 端口映射-Ubuntu为例

    最近折腾虚拟机,由于是在linux下进行的,而相关资料比较少,所以遇到了一些问题. 一个就是配置vmware workstation的NAT设置.因为一般来说,NAT可以共享主机的ip,从而能以主机身 ...

随机推荐

  1. Problem 1: Multiples of 3 and 5

    小白一枚,python解法,共同学习,一起进步. Problem 1: Multiples of 3 and 5 If we list all the natural numbers below 10 ...

  2. bom与dom的区别

    文档对象模型(Document Object Model,简称DOM),是W3C组织推荐的处理可扩展标志语言的标准编程接口.Document Object Model的历史可以追溯至1990年代后期微 ...

  3. Python第七章(北理国家精品课 嵩天等)

    7.1文件的使用 1.1文本类型 文本文件:由单一特定编码组成的文件,如.txt 二进制文件:如.png,.avi 1.2文件的打开和关闭 打开-操作-关闭 <变量名> = open(&l ...

  4. 使用Pillow库 创建简单验证码

    使用Pillow生成简单的验证码 本想做成字体各自按随机角度倾斜, 但没有在Pillow中找到相关的方法 import randomfrom PIL import Image, ImageDraw, ...

  5. javap反汇编的使用

    javap可以查看class文件信息,灵活的运用javap,让你更好的理解class类文件结构信息等   方法/步骤     javap -help查看命令帮助   javap -package Te ...

  6. CSS效果:跑马灯按钮

    HTML代码 <html lang="en"> <head> <meta charset="UTF-8"> <meta ...

  7. 关于SpringMVC的配置流程以及一些细节

    首先说道SpringMvc是什么,SpringMVC是Spring框架里面的一个子框架,它对网站前后端的代码分层做了一套实现,这套实现给我们带来了几个好处,首先第一,SpringMVC实现了一个请求对 ...

  8. Java的URL类(一)

    转:https://www.cnblogs.com/blackiesong/p/6182038.html Java的URL类(一) Java的网络类可以让你通过网络或者远程连接来实现应用.而且,这个平 ...

  9. day14 生成器迭代器

    迭代器(iterator) 可迭代对象: 可以使用迭代器取出数据的对象 判断一个对象是否是可迭代对象,就看这个对象有没有实现__iter__方法 所有的容器类型(包括字符串)都是可迭代的 迭代器的使用 ...

  10. soapUI的安装及破解

    1.下载安装包 SoapUI SoapUI-Pro-x64-5.1.2.exe Protection-4.6.jar scz.key 2.安装SoapUI-Pro-x64-5.1.2.exe 3.拷贝 ...