服務(wù)器安全加固方法整理：

1)–設(shè)置啟用空閑激活、屏幕鎖定、屏保和空閑激活時間

# gconftool-2 --direct \ --config-source xml:readwrite:/etc/gconf/gconf.xml.mandatory \ --type bool \ --set /apps/gnome-screensaver/idle_activation_enabled true # gconftool-2 --direct \ --config-source xml:readwrite:/etc/gconf/gconf.xml.mandatory \ --type bool \ --set /apps/gnome-screensaver/lock_enabled true # gconftool-2 --direct \ --config-source xml:readwrite:/etc/gconf/gconf.xml.mandatory \ --type string \ --set /apps/gnome-screensaver/mode blank-only # gconftool-2 --direct \ --config-source xml:readwrite:/etc/gconf/gconf.xml.mandatory \ --type string \ --set /apps/gnome-screensaver/idle_delay 15

2)–設(shè)置密碼復(fù)雜度
1、執(zhí)行備份：

#`cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak`

2、修改策略設(shè)置：
可使用pam pam_cracklib module或pam_passwdqc module實現(xiàn)密碼復(fù)雜度，兩者不能同時使用。
pam_cracklib主要參數(shù)說明:
tretry=N：重試多少次后返回密碼修改錯誤
difok=N：新密碼必需與舊密碼不同的位數(shù)
dcredit=N：N >= 0密碼中最多有多少個數(shù)字；N < 0密碼中最少有多少個數(shù)字
lcredit=N：小寫字母的個數(shù)
ucredit=N：大寫字母的個數(shù)
credit=N：特殊字母的個數(shù)
minclass=N：密碼組成(大/小字母，數(shù)字，特殊字

#`vi /etc/pam.d/system-auth`

password requisite pam_pwquality.so這一行后增加 minlen=8 minclass=2

3)–設(shè)置登錄超時、csh shell 下的自動超時變量
1、執(zhí)行備份：

#cp -p /etc/profile /etc/profile_bak #cp -p /etc/csh.cshrc /etc/csh.cshrc_bak

2、在/etc/profile文件增加以下兩行：

#vi /etc/profile TMOUT=180 export TMOUT

3、修改/etc/csh.cshrc文件，添加如下行：

#vi /etc/csh.cshrc set autologout=30

改變這項設(shè)置后，重新登錄才能有效

4)–設(shè)置口令鎖定策略
1、執(zhí)行備份：

#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak

2、修改策略設(shè)置：

#vi /etc/pam.d/system-auth

增加下行代碼到第二行
auth required pam_tally2.so deny=6 onerr=fail no_magic_root unlock_time=120
保存退出；

5)–修改密碼有效期及最小長度
1、執(zhí)行備份：

#cp -p /etc/login.defs /etc/login.defs_bak

2、修改策略設(shè)置：
#vi /etc/login.defs
修改PASS_MIN_LEN的值為8
修改PASS_MAX_DAYS的值為90
按要求修改PASS_MIN_DAYS/PASS_WARN_AGE的值
保存退出

6)–配置登錄提示-是否更改telnet警告Banner
步驟1
修改文件/etc/motd的內(nèi)容，如沒有該文件，則創(chuàng)建它。

#echo "Authorized users only. All activity may be monitored and reported" > /etc/motd

步驟 2 修改Telnet回顯信息
修改文件/etc/issue 和/etc/issue.net中的內(nèi)容：

#echo "Authorized users only. All activity may be monitored and reported" > /etc/issue #echo "Authorized users only. All activity may be monitored and reported" > /etc/issue.net

7)–禁止root用戶遠程登錄系統(tǒng)
1、執(zhí)行備份：

#cp -p /etc/securetty /etc/securetty_bak #cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak

2、禁止root用戶遠程登錄系統(tǒng)

#vi /etc/securetty

#注釋形如pts/x的行，保存退出，則禁止了root從telnet登錄。

#vi /etc/ssh/sshd_config

修改PermitRootLogin設(shè)置為no并不被注釋，保存退出，則禁止了root從ssh登錄。
3、重啟SSHD服務(wù)

#service sshd restart

8)–鎖定無用帳戶
1、執(zhí)行備份：

#cp -p /etc/passwd /etc/passwd_bak #cp -p /etc/shadow /etc/shadow_bak

2、鎖定無用帳戶：

#vi /etc/shadow

在需要鎖定的用戶名的密碼字段前面加!，如test:!$1$QD1ju03H$LbV4vdBbpw.MY0hZ2D/Im1:14805:0:99999:7:::

9)–umask 027表示默認創(chuàng)建新文件權(quán)限為750 也就是rxwr-x—
1、執(zhí)行備份：

cp -p /etc/profile /etc/profile_bak cp -p /etc/csh.login /etc/csh.login_bak cp -p /etc/csh.cshrc /etc/csh.cshrc_bak cp -p /etc/bashrc /etc/bashrc_bak cp -p /root/.bashrc /root/.bashrc_bak cp –p /root/.cshrc /root/.cshrc_bak

2、修改umask設(shè)置：

#vi /etc/profile #vi /etc/csh.login #vi /etc/csh.cshrc #vi /etc/bashrc #vi /root/.bashrc #vi /root/.cshrc

最后一行增加 umask 027，保存退出。

10)–配置提示信息
1、執(zhí)行如下命令創(chuàng)建ssh banner信息文件：

#touch /etc/sshbanner #chown bin:bin /etc/sshbanner #chmod 644 /etc/sshbanner #echo "Authorized users only. All activity may be monitored and reported" > /etc/sshbanner

2、修改/etc/ssh/sshd_config文件，添加如下行：

# vi /etc/ssh/sshd_config

Banner /etc/sshbanner
步驟 3 重啟sshd服務(wù)：

#service sshd restart

11)–防止5個最近使用過的密碼被用來設(shè)置為新密碼
1、執(zhí)行備份：

#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak

2、創(chuàng)建文件/etc/security/opasswd，并設(shè)置權(quán)限：

#touch /etc/security/opasswd #chown root:root /etc/security/opasswd #chmod 600 /etc/security/opasswd

2、修改策略設(shè)置：

#vi /etc/pam.d/system-auth

增加 password required pam_unix.so remember=5

12)–關(guān)閉 ICMP 路由重定向
1、備份文件：

#cp -p /etc/sysctl.conf /etc/sysctl.conf_bak

2、執(zhí)行：

#vi /etc/sysctl.conf

加上net.ipv4.conf.all.accept_redirects=0

執(zhí)行

/sbin/sysctl -p

13)–增加不能通過ftp登錄的用戶
1、修改ftpusers文件，增加不能通過ftp登錄的用戶
首先需確定ftpusers文件位置，可以通過以下命令知道：

#cat /etc/pam.d/vsftpd

auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd.ftpusers onerr=succeed
其中file=/etc/vsftpd/ftpusers即為當前系統(tǒng)上的ftpusers文件。

修改文件（假設(shè)文件為/etc/ftpusers）：

# vi /etc/vsftpd/ftpusers

在文件中增加以下用戶，則該用戶均不允許通過ftp登錄：
sys
nuucp
listen
noaccess
nobody4

14)關(guān)閉匿名用戶登入

#vi /etc/vsftpd/vsftpd.conf

yes調(diào)整為no
anonymous_enable=NO

15)增加操作日志配置

1.創(chuàng)建/etc/profile.d/cmdhistory.sh配置文件
vi /etc/profile.d/cmdhistory.sh
增加以下內(nèi)容

#to avoid sourcing this file more than once if [ "$AUDIT_INCLUDED" == "$$" ]; thenreturn elsedeclare -r AUDIT_INCLUDED="$$" fiexport HISTTIMEFORMAT='%F %T ' export HISTCONTROL=REMOTEHOSTNAME=`who am i | awk '{ print $NF }' |awk -F'(' '{ print $NF}' |awk -F')' '{ print $1}'` if [ ! $REMOTEHOSTNAME ]; thenREMOTEHOST="127.0.0.1"REMOTEHOSTNAME="localhost" elif [[ "$REMOTEHOSTNAME" = "" ]]; thenREMOTEHOST="127.0.0.1"REMOTEHOSTNAME="localhost" elif [[ $REMOTEHOSTNAME = ":0.0" ]]; thenREMOTEHOST="0.0.0.0" elif ( test -z "`echo $REMOTEHOSTNAME|awk '($1 ~/[0-9]+.[0-9]+.[0-9]+.[0-9]+/)'`" )thenREMOTEHOST=`awk '/'[^0-9a-zA-Z-]$REMOTEHOSTNAME[^0-9a-zA-Z-]*\\$'/ {print $1}' /etc/hosts` elseREMOTEHOST=$REMOTEHOSTNAME filogger -p local6.info -- SESSION=$$, from_remote_host=$REMOTEHOST, from_remote_hostname=$REMOTEHOSTNAME, USER=$USER, SHELL=$SHELL, PWD=$PWD, LOGINTIME=`date '+%Y-%m-%d %H:%M:%S'`, LOGIN="success"function history_to_syslog {cmd=$(history 1 | tail -1) cmd=$(echo $cmd |awk '{print substr($0,length($1)+2)}') if [ "$cmd" != "$old_command" ]; then logger -p local6.info -- SESSION=$$, from_remote_host=$REMOTEHOST, from_remote_hostname=$REMOTEHOSTNAME, USER=$USER, SHELL=$SHELL, PWD=$PWD, CMDTIME=`date '+%Y-%m-%d %H:%M:%S'`, CMD="${cmd}" fi old_command=$cmd } trap history_to_syslog DEBUG || EXIT

2.chmod 755 /etc/profile.d/cmdhistory.sh

3.source /etc/profile

4.執(zhí)行如下命令增加配置，記錄近端登錄和操作日志：
echo “[ -f /etc/profile.d/cmdhistory.sh ] && . /etc/profile.d/cmdhistory.sh” >> /etc/bashrc

5.vi /etc/rsyslog.conf
增加

# Log user commands local6.info /var/log/cmdhistory

6.重啟
service rsyslog start

7.驗證，文件里是否存在操作日志
cat /var/log/cmdhistory

總結(jié)

以上是生活随笔為你收集整理的LINUX服务器安全加固方法整理的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。