Linux系统安全加固的常规操作

2022-09-15 网易号互联网资讯看板

摘要：linux是一套免费使用和自由传播的系统，是一个基于UNIX的多用户、多任务、支持多线程和多CPU的操作系统。所谓的多用户和多任务。多用户是指在同一时刻可以有多个用户同时使用操作系统而且他们互不干扰，而多任务则指的是任何一个用户在同一时间可以在操作系统上运行多个程序。

作为一个开放源代码的操作系统，Linux服务器以其安全、高效和稳定的显著优势而得以广泛应用，不过，如果不做好权限的合理分配，系统的安全性得不到更好的保障。

因此，为提高系统的稳定性，加强安全管理必不可少。

本文将使用centos7操作系统，分别从账户安全、密码策略、登录控制、系统资源控制以及日志审计等方面优化系统的安全性。详细内容请参考下文。

一、优化系统账号管理

说明：系统账户默认存放的目录为/etc/passwd，可以执行cat指令手动查询用户信息。具体的优化措施是除了root账户需要登录以外，其他的账户全部设置为禁止登录。

需要用到的命令如下：

userdel <用户名> //删除不必要的账号。

passwd -l <用户名> //锁定不必要的账号。

passwd -u <用户名> //解锁必要的账号。

解决办法：本文使用{passwd -l 用户名}锁定用户登录，可以编写lockuser.sh脚本完成这个过程。

1、编写脚本

执行指令# vim lockuser.sh

备注：grep -v就是反向过滤文本行的搜索，grep -v name # 表示搜索除了含有name之外的行内容。

2、执行脚本

执行指令# sh lockuser.sh

二、设置密码管理策略

说明：操作系统和数据库的管理用户身份鉴别信息应具有不易被破解的特点，口令应有一定的复杂度要求并定期更换。设置有效的密码策略，防止攻击者破解出密码。

1、查看空口令帐号并为弱/空口令帐号设置强密码

执行指令# awk -F: '($2 == ""){print $1}' /etc/shadow

备注：可用密码网站查询出帐号的密码是否是弱口令

2、修改login.defs配置密码周期策略

执行指令# vim /etc/login.defs

修改密码策略文件

修改内容为

备注：此策略只对策略实施后所创建的帐号生效，以前的帐号还是按99999天周期时间来算。对于已创建的账户，可以使用chage命令修改用户设置（针对已创建用户）。【比如# chage -m 0 -M 90 -I 5 -W 7 <用户名>】表示将此用户的密码最长使用天数设为30，最短使用天数设为0，密码过期后5天之后账户失效，过期前7天警告用户。

参数含义如下所示：

PASS_MAX_DAYS 90 #密码最长过期天数

PASS_MIN_DAYS 0 #密码最小过期天数

PASS_MIN_LEN 8 #密码最小长度

PASS_WARN_AGE 7 #密码过期警告天数

3、修改system-auth配置密码复杂度

执行指令# vim /etc/pam.d/system-auth

修改密码复杂度文件为

备注：在密码复杂度文件的末尾添加如下一行：password requisite pam_cracklib.so retry=3 difok=2 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1

参数含义如下所示：

difok：本次密码与上次密码至少不同字符数

minlen：密码最小长度，此配置优先于login.defs中的PASS_MAX_DAYS

ucredit：最少大写字母

lcredit：最少小写字母

dcredit：最少数字

retry：重试多少次后返回密码修改错误

三、设置登陆管理策略

说明：服务器必须设置登录失败处理策略，可以采取结束会话、限制非法登录次数和自动退出等措施。遭遇密码破解时，暂时锁定帐号，降低密码被猜解的可能性。

1、登录失败处理功能策略（服务器终端）

执行指令# vim /etc/pam.d/system-auth编辑系统文件，在 auth 字段所在的那一部分策略下面添加如下策略参数。

auth required pam_tally2.so onerr=fail deny=3 unlock_time=30 even_deny_root root_unlock_time=30

备注：注意添加的位置，要写在第一行，即#%PAM-1.0的下面。如上图所示。以上策略表示，普通帐户和 root 的帐户登录连续 3 次失败，就统一锁定30 秒，30 秒后可以解锁。如果不想限制 root 帐户，可以把 even_deny_root root_unlock_time这两个参数去掉， root_unlock_time 表示 root 帐户的锁定时间，onerr=fail 表示连续失败，deny=3,表示超过3 次登录失败即锁定。还应该注意的是，用户锁定期间，无论在输入正确还是错误的密码，都将视为错误密码，并以最后一次登录为锁定起始时间，若果用户解锁后输入密码的第一次依然为错误密码，则再次重新锁定。登陆信息可以通过日志 tail -f /var/log/secure查看。

2、登录失败处理功能策略（ssh远程连接登录）

执行指令# vim /etc/pam.d/sshd编辑SSH文件，在 auth 字段所在的那一部分策略下面添加如下策略参数。

auth required pam_tally2.so onerr=fail deny=3 unlock_time=30 even_deny_root root_unlock_time=30

备注：上面的错误意思是在/lib64/security/ 下面找不到pam_tally.so，而我进入到目录下，确实没找到这个文件，解决方法是将现有的 pam_tally2.so做个软连接到pam_tally.so，先切换到目录cd /lib64/security/，然后再做软链接ln -s pam_tally2.so pam_tally.so。

3、解锁账户

首先，执行指令# pam_tally2查看锁定的账户