文件夾加固

A. 系統加固之Linux安全加固

Linux系統基本操作

文件結構圖及關鍵文件功能介紹

Linux文件結構

Linux文件結構圖

二級目錄

| 目錄 | 功能 |
| /bin | 放置的是在單人維護模式下能被操作的指令，在/bin底下的指令可以被root與一般賬號所使用 |
| /boot | 這個目錄只要在放置開機會使用到的文件，包括 Linux核心文件以及開機選單與開機所需配置的文件等等 |
| /dev | 在Linux系統上，任何裝置與介面設備都是以文件的形態存在於這個目錄當中的 |
| /etc |

系統主要的配置文件幾乎都放在這個目錄內，例如人員賬號密碼各種服務的啟動檔，系統變數配置等

|
| /home | 這個是系統默認的用戶家目錄（home directory) |
| /lib | /lib放置的則是在開機時會用到的函式庫，以及在/lib或/sbin底下的指令會呼叫的函式庫 |
| /media | /media底下放置的是可以移出的裝置，包括軟盤、光碟、DVD等等裝置都掛載於此 |
| /opt | 給第三方協議軟體放置的目錄 |
| /root | 系統管理員（root）的家目錄 |
| /sbin | 放置/sbin底下的為開機過程中所需要的，裡麵包括了開機、修復、還原系統所需的指令。 |
| /srv | srv可視為[service]的縮寫，是一些網路服務啟動之後，這些服務所需要取用的數據目錄 |
| /tmp | 這是讓一般使用者或是正在執行的程序暫時放置文件的地方 |

文件

賬號和許可權

系統用戶

超級管理員 uid=0

系統默認用戶 系統程序使用，從不登錄

新建普通用戶 uid大於500

/etc/passwd

/etc/shadow

用戶管理

許可權管理

解析文件許可權

文件系統安全

查看許可權：ls -l

修改許可權：

**chmod **

** chgrp**

設置合理的初始文件許可權

很奇妙的UMASK:

umask值為0022所對應的默認文件和文件夾創建的預設許可權分別為644和755

文件夾其許可權規則為：777-022-755

文件其許可權規則為：777-111-022=644（因為文件默認沒有執行許可權）

修改UMASK值：

1、直接在命令行下 umask xxx(重啟後消失）

2、修改/etc/profile中設定的umask值

系統加固

鎖定系統中多餘的自建賬號

檢查shadow中空口令賬號

檢查方法：

加固方法：

使用命令passwd -l <用戶名> 鎖定不必要的賬號

使用命令passwd -u <用戶名>解鎖需要恢復的賬號

使用命令passwd <用戶名> 為用戶設置密碼

設置系統密碼策略

執行命令查看密碼策略設置

加固方法：

禁用root之外的超級用戶

檢測方法：

awk -F ":" '( 1}' /etc/passwd

加固方法：

** passwd -l <用戶名>**

****

限制能夠su為root的用戶

查看是否有auth required /libsecurity/pam_whell.so這樣的配置條目

加固方法：

重要文件加上不可改變屬性

把重要文件加上不可改變屬性

Umask安全

SSH安全：

禁止root用戶進行遠程登陸

檢查方法：

加固方法：

更改服務埠：

屏蔽SSH登陸banner信息

僅允許SSH協議版本2

防止誤使用Ctrl+Alt+Del重啟系統

檢查方法：

加固方法：

設置賬號鎖定登錄失敗鎖定次數、鎖定時間

檢查方法：

修改賬號TMOUT值，設置自動注銷時間

檢查方法：

cat /etc/profile | grep TMOUT

加固方法：

vim /etc/profile

增加

TMOUT=600 無操作600秒後自動退出

設置BASH保留歷史命令的條目

檢查方法：

cat /etc/profile | grep HISTSIZE

加固方法：

vim /etc/profile

修改HISTSIZE=5即保留最新執行的5條命令

設置注銷時刪除命令記錄

檢查方法：

cat /etc/skel/.bash_logout 增加如下行

rm -f $HOME/.bash_history

這樣，系統中的所有用戶注銷時都會刪除其命令記錄，如果只需要針對某個特定用戶，，如root用戶進行設置，則可只在該用戶的主目錄下修改/$HOME/.bash_history文件增加相同的一行即可。

設置系統日誌策略配置文件

日誌的主要用途是 系統審計 、監測追蹤和分析。為了保證 Linux 系 統正常運行、准確解決遇到的各種樣統問題，認真地讀取日誌文件是管理員的一項非常重要任務。

UNIX/ Linux 採用了syslog 工具來實現此功能，如果配置正確的 話，所有在主機上發生的事情都會被記錄下來不管是好還是壞的 。

檢查方法：

cat /etc/profile | grep HISTSIZE

確定syslog服務是否啟用

查看syslogd的配置，並確認日誌文件是否存在

阻止系統響應任何從外部/內部來的ping請求

加固方法：

echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all