優化一些Linux參數,可以提升安全。
1、umask設置
在文件/etc/csh.login中設置 umask 077或UMASK 077
在文件/etc/profile中設置umask 077或UMASK 077
在文件/etc/csh.cshrc中設置 umask 077或UMASK 077
檢查文件/etc/bashrc(或/etc/bash.bashrc)中設置 umask 077或UMASK 077
2、ssh登錄警告設置。
1. 執行如下命令創建ssh banner信息文件:
#touch /etc/ssh_banner
#chown bin:bin /etc/ssh_banner
#chmod 644 /etc/ssh_banner
#echo " Authorized only. All activity will be monitored and reported " > /etc/ssh_banner
可根據實際需要修改該文件的內容。
2. 修改/etc/ssh/sshd_config文件,添加如下行:
Banner /etc/ssh_banner
3.重啟sshd服務:
#/etc/init.d/sshd restart
3、禁止root遠程telnet登錄。
編輯 /etc/pam.d/login文件,配置auth required pam_securetty.so
4、禁止root遠程ssh登錄。
修改/etc/ssh/sshd_config文件,配置PermitRootLogin no,重啟服務/etc/init.d/sshd restart
5、禁止root登錄ftp。
1.編輯/etc/ftpusers(或/etc/vsftpd/ftpusers)文件
2.添加root
6、檢查口令長度。
在文件/etc/login.defs中設置 PASS_MIN_LEN 不小於標准值
7、設置命令界面超時時間。
以root賬戶執行,vi /etc/profile,增加 export TMOUT=180(單位:秒,可根據具體情況設定超時退出時間,要求不小於180秒),注銷用戶,再用該用戶登錄激活該功能。
8、檢查是否配置用戶最小權限。
chmod 644 /etc/group
chmod 600 /etc/shadow
chmod 644 /etc/passwd
9、限制用戶上傳ftp文件屬性。
如果系統使用vsftp:
修改/etc/vsftpd.conf(或者為/etc/vsftpd/vsftpd.conf)
# vi /etc/vsftpd.conf
確保以下行未被注釋掉,如果沒有該行,請添加:
write_enable=YES //允許上傳。如果不需要上傳權限,此項可不進行更改。
ls_recurse_enable=YES
local_umask=022 //設置用戶上傳文件的屬性為755
anon_umask=022 //匿名用戶上傳文件(包括目錄)的 umask
重啟網絡服務
# /etc/init.d/vsftpd restart
10、用戶登錄失敗次數限制。
Redhat:
編輯/etc/pam.d/system-auth文件
配置:
auth required pam_tally.so deny=5 unlock_time=600
account required pam_tally.so
Suse9:
編輯/etc/pam.d/passwd文件
配置:
auth required pam_tally.so deny=5 unlock_time=600
account required pam_tally.so
Suse10,Suse11:
編輯/etc/pam.d/common-auth文件
配置:auth required pam_tally.so deny=5 unlock_time=600 no_lock_time
編輯/etc/pam.d/common-account文件
配置:account required pam_tally.so
參數說明:
deny #連續認證失敗次數超過的次數
unlock_time #鎖定的時間,單位為秒