Linux下常用安全策略设置方法

Linux下常用安全策略设置方法

1. 禁止系统响应任何从外部/内部来的ping请求

攻击者一般首先通过ping命令检测此主机或者IP是否处于活动状态，如果能够ping通某个主机或者IP，那么攻击者就认为此系统处于活动状态，继而进行攻击或破坏。如果没有人能ping通机器并收到响应，那么就可以大大增强服务器的安全性，linux下可以执行如下设置，禁止ping请求：

[root@localhost ~]#echo “1”> /proc/sys/net/ipv4/icmp_echo_ignore_all

默认情况下“icmp_echo_ignore_all”的值为“0”，表示响应ping操作。

可以加上面的一行命令到/etc/rc.d/rc.local文件中，以使每次系统重启后自动运行。2．禁止Control-Alt-Delete组合键重启系统

在linux的默认设置下，同时按下Control-Alt-Delete键，系统将自动重启，这是很不安全的，因此要禁止Control-Alt-Delete组合键重启系统，只需修改/etc/inittab文件：[root@localhost ~]#vi /etc/inittab

找到此行：ca::ctrlaltdel:/sbin/shutdown -t3 -r now

在之前加上“#”

然后执行：

[root@localhost ~]#telinit q

3．限制Shell记录历史命令大小

默认情况下，bash shell会在文件$HOME/.bash_history中存放多达1000条命令记录(根据系统不同，默认记录条数不同)。系统中每个用户的主目录下都有一个这样的文件。

这么多的历史命令记录，肯定是不安全的，因此必须限制该文件的大小。

可以编辑/etc/profile文件，修改其中的选项如下：

HISTSIZE=30

表示在文件$HOME/.bash_history中记录最近的30条历史命令。如果将“HISTSIZE”设置为0，则表示不记录历史命令，那么也就不能用键盘的上下键查找历史命令了。

4．删除系统默认的不必要用户和组

Linux提供了各种系统账户，在系统安装完毕，如果不需要某些用户或者组，就要立即删除它，因为账户越多，系统就越不安全，越容易受到攻击。

删除系统不必要的用户用下面命令

[root@localhost ~]# userdel username

删除系统不必要的组用如下命令：

[root@localhost ~]# groupdel groupname

Linux系统中可以删除的默认用户和组有：

删除的用户,如adm,lp,sync,shutdown,halt,news,uucp,operator,games,gopher等。

删除的组,如adm,lp,news,uucp,games,dip,pppusers,popusers,slipusers等。

5. 关闭selinux

SELinux是 Security-Enhanced Linux的简称，是一种内核强制访问控制安全系统，目前SELinux已经集成到Linux 2.6内核的主线和大多数Linux发行版上，由于SELinux与现有Linux应用程序和Linux内核模块兼容性还存在一些问题，因此建议初学者先关闭selinux，等到对linux有了深入的认识后，再对selinux深入研究不迟！

查看linux系统selinux是否启用，可以使用getenforce命令：

[root@localhost ~]# getenforce

Disabled

关闭selinux，在redhat系列发行版中，可以直接修改如下文件：

[root@localhost ~]#vi /etc/sysconfig/selinux

# This file controls the state of SELinux on the system.

# SELINUX= can take one of these three values:

# enforcing - SELinux security policy is enforced.

# permissive - SELinux prints warnings instead of enforcing.

# disabled - SELinux is fully disabled.

SELINUX=enforcing

# SELINUXTYPE= type of policy in use. Possible values are:

# targeted - Only targeted network daemons are protected.

# strict - Full SELinux protection.

SELINUXTYPE=targeted

将SELINUX=enforcing修改为SELINUX=disabled, 重启系统后将会停止SElinux。

6．设定tcp_wrappers防火墙

Tcp_Wrappers是一个用来分析TCP/IP封包的软件，类似的IP封包软件还有iptables，linux 默认都安装了此软件，作为一个安全的系统，Linux本身有两层安全防火墙，通过IP过滤机制的iptables实现第一层防护，iptables防火墙通过直观地监视系统的运行状况，阻挡网络中的一些恶意攻击，保护整个系统正常运行，免遭攻击和破坏。关于iptables的实现，将在下个章节详细讲述。如果通过了第一层防护，那么下一层防护就是tcp_wrappers了，通过Tcp_Wrappers可以实现对系统中提供的某些服务的开放与关闭、允许和禁止，从而更有效地保证系统安全运行。

Tcp_Wrappers的使用很简单，仅仅两个配置文件：/etc/hosts.allow和/etc/hosts.deny

（1）查看系统是否安装了Tcp_Wrappers

[root@localhost ~]#rpm -q tcp_wrappers 或者

[root@localhost ~]#rpm -qa | grep tcp

tcp_wrappers-7.6-37.2

tcpdump-3.8.2-10.RHEL4

如果有上面的类似输出，表示系统已经安装了tcp_wrappers模块。如果没有显示，可能是没有安装，可以从linux系统安装盘找到对应RPM包进行安装。

（2）tcp_wrappers防火墙的局限性

系统中的某个服务是否可以使用tcp_wrappers防火墙，取决于该服务是否应用了libwrapped库文件，如果应用了就可以使用tcp_wrappers防火墙，系统中默认的一些服务如：sshd、portmap、sendmail、xinetd、vsftpd、tcpd等都可以使用tcp_wrappers防火墙。

(3) tcp_wrappers设定的规则

tcp_wrappers防火墙的实现是通过/etc/hosts.allow和/etc/hosts.deny两个文件来完成的，首先看一下设定的格式：

service:host(s) [:action]

service：代表服务名，例如sshd、vsftpd、sendmail等。

host(s)：主机名或者IP地址，可以有多个，例如192.168.60.0、https://www.360docs.net/doc/6511493309.html,

action：动作，符合条件后所采取的动作。

几个关键字：

ALL：所有服务或者所有IP。

ALL EXCEPT：所有的服务或者所有IP除去指定的。

例如：ALL:ALL EXCEPT 192.168.60.132

表示除了192.168.60.132这台机器，任何机器执行所有服务时或被允许或被拒绝。

了解了设定语法后，下面就可以对服务进行访问限定。

例如互联网上一台linux服务器，实现的目标是：仅仅允许222.90.66.4、61.185.224.66以及域名https://www.360docs.net/doc/6511493309.html,通过SSH服务远程登录到系统，设置如下：

首先设定允许登录的计算机，即配置/etc/hosts.allow文件，设置很简单，只要修改

/etc/hosts.allow（如果没有此文件，请自行建立）这个文件即可。

只需将下面规则加入/etc/hosts.allow即可。

sshd: 222.90.66.4 61.185.224.66 https://www.360docs.net/doc/6511493309.html,

接着设置不允许登录的机器，也就是配置/etc/hosts.deny文件了。

一般情况下，linux会首先判断/etc/hosts.allow这个文件，如果远程登录的计算机满足文件/etc/hosts.allow设定的话，就不会去使用/etc/hosts.deny文件了，相反，如果不满足hosts.allow文件设定的规则的话，就会去使用hosts.deny文件了，如果满足hosts.deny 的规则，此主机就被限制为不可访问linux服务器，如果也不满足hosts.deny的设定，此主机默认是可以访问linux服务器的，因此，当设定好/etc/hosts.allow文件访问规则之后，只需设置/etc/hosts.deny为“所有计算机都不能登录状态”即可。

sshd:ALL

这样，一个简单的tcp_wrappers防火墙就设置完毕了。

linux安全策略

[摘要] Linux系统使用越来越广泛，关系Linux的安全越来越受到人们的重视，本文结合笔者在Linux系统安全管理方面的一些经验体会，从账户、密码策略、文件权限，日志管理、远程访问等5个方面，对linux系统安全谈谈自己的体会，供大家参考。 一、引言随着Internet／Intranet网络的日益普及，Linux作为一个现代的操作系统，正在各个方面得到广泛的应用。Linux在服务器、嵌入式等方面已经取得不俗的成绩，在桌面系统方面，也逐渐受到欢迎。于是Linux的安全问题也逐渐受到人们的重视。Linux是一个开放式系统，可以在网络上找到许多现成的程序和工具，这既方便了用户，也方便了黑客，因为他们也能很容易地找到程序和工具来潜入Linux系统，或者盗取Linux系统上的重要信息。因此，详细分析Linux 系统的安全机制，找出它可能存在的安全隐患，给出相应的安全策略和保护措施是十分必要的。针对Linux的基本安全防护，笔者这里稍做介绍。二、Linux系统的安全策略1.Linux系统的用户账号策略管理员的工作中，相当重要的一环就是管理账号。在管理Linux 主机的账号时，一个最重要的方面就是确保每一个UID仅仅使用一次。另外就是设置有限的登陆次数来预防无休止的登陆攻击，通过编辑/etc/pam.d/system-auth，添加下面两句可以设置账户最多连续登陆5次，超过5次账户将被锁定，只有管理员才能帮助解锁。auth required pam_tally.so deny=5 account required pam_tally.so 2.密码策略要求(1)口令时效和口令长度的设置。口令时效和口令长度是一种系统机制，用于强制口令在特定的时间长度后失效。对用户来说，

中国电信Linux操作系统安全配置规范

中国电信Linux 操作系统安全配置规范 Specification for Linux OS Configuration Used in China Telecom 中国电信集团公司 发布 保密等级：公开发放

目录 目录..................................................................... I 前言.................................................................... II 1 范围 (1) 2 规范性引用文件 (1) 3 缩略语 (1) 3.1 缩略语.................................................. 错误！未定义书签。 4 安全配置要求 (2) 4.1 账号 (2) 4.2 口令 (3) 4.3 文件及目录权限 (5) 4.4 远程登录 (7) 4.5 补丁安全 (8) 4.6 日志安全要求 (9) 4.7 不必要的服务、端口 (10) 4.8 系统Banner设置 (11) 4.9 登陆超时时间设置 (12) 4.10 删除潜在危险文件 (12) 4.11 FTP设置 (12) 附录A：端口及服务 (13)

前言 为了在工程验收、运行维护、安全检查等环节，规范并落实安全配置要求，中国电信编制了一系列的安全配置规范，明确了操作系统、数据库、应用中间件在内的通用安全配置要求。 本规范是中国电信安全配置系列规范之一。该系列规范的结构及名称预计如下： （1）AIX操作系统安全配置规范 （2）HP-UX操作系统安全配置规范 （3）Solaris操作系统安全配置规范 （4）Linux操作系统安全配置规范（本标准） （5）Windows 操作系统安全配置规范 （6）MS SQL server数据库安全配置规范 （7）MySQL数据库安全配置规范 （8）Oracle数据库安全配置规范 （9）Apache安全配置规范 （10）IIS安全配置规范 （11）Tomcat安全配置规范 （12）WebLogic安全配置规范 本标准由中国电信集团公司提出并归口。

Linux系统安全加固手册

密级：商业秘密LINUX评估加固手册 安氏领信科技发展有限公司 二〇一五年十二月

目录 1、系统补丁的安装 (3) 2、帐户、口令策略的加固 (3) 2．1、删除或禁用系统无用的用户 (3) 2．2、口令策略的设置 (4) 2．3、系统是否允许ROOT远程登录 (5) 2．4、ROOT的环境变量设置 (5) 3、网络与服务加固 (5) 3．1、RC?.D中的服务的设置 (5) 3．2、/ETC/INETD.CONF中服务的设置 (6) 3．3、NFS的配置 (8) 3．4、SNMP的配置 (9) 3．5、S ENDMAIL的配置 (9) 3．6、DNS（B IND）的配置 (9) 3．7、网络连接访问控制的设置 (10) 4、信任主机的设置 (11) 5、日志审核的设置 (11) 6、物理安全加固 (11) 7、系统内核参数的配置 (13) 8、选装安全工具 (14)

1、系统补丁的安装 RedHat使用RPM包实现系统安装的管理，系统没有单独补丁包（Patch）。如果出现新的漏洞，则发布一个新的RPM包，版本号（Version）不变，Release做相应的调整。因此检查RH Linux的补丁安装情况只能列出所有安装的软件，和RH 网站上发布的升级软件对照，检查其中的变化。 通过访问官方站点下载最新系统补丁，RedHat公司补丁地址如下： https://www.360docs.net/doc/6511493309.html,/corp/support/errata/ rpm -qa 查看系统当前安装的rpm包 rpm -ivh package1安装RPM包 rpm -Uvh package1升级RPM包 rpm -Fvh package1升级RPM包（如果原先没有安装，则不安装） 2、帐户、口令策略的加固 2．1、删除或禁用系统无用的用户 询问系统管理员，确认其需要使用的帐户 如果下面的用户及其所在的组经过确认不需要，可以删除。 lp, sync, shutdown, halt, news, uucp, operator, games, gopher 修改一些系统帐号的shell变量，例如uucp,ftp和news等，还有一些仅仅需要FTP功能的帐号，检查并取消/bin/bash或者/bin/sh等Shell变量。可以在/etc/passwd中将它们的shell变量设为/bin/false或者/dev/null等。也可以通过passwd groupdel 来锁定用户、删除组。 passwd -l user1锁定user1用户 passwd -u user1解锁user1用户 groupdel lp 删除lp组。

Linux 防火墙的功能及安全策略

Linux 防火墙的功能及安全策略 防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。因此，防火墙的功能有以下几点： ●防火墙是网络安全的屏障 一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS 协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。 ●防火墙可以强化网络安全策略 通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。 ●对网络存取和访问进行监控审计 如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。 ●防止内部信息的外泄 通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。

(完整版)Linux安全配置基线

Linux系统安全配置基线 中国移动通信有限公司管理信息系统部 2009年3月

版本版本控制信息更新日期更新人审批人V1.0创建2009年1月 1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录 第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 1.4实施 (1) 1.5例外条款 (1) 第2章账号管理、认证授权 (2) 2.1账号 (2) 2.1.1用户口令设置 (2) 2.1.2root用户远程登录限制 (2) 2.1.3检查是否存在除root之外UID为0的用户 (3) 2.1.4root用户环境变量的安全性 (3) 2.2认证 (4) 2.2.1远程连接的安全性配置 (4) 2.2.2用户的umask安全配置 (4) 2.2.3重要目录和文件的权限设置 (4) 2.2.4查找未授权的SUID/SGID文件 (5) 2.2.5检查任何人都有写权限的目录 (6) 2.2.6查找任何人都有写权限的文件 (6) 2.2.7检查没有属主的文件 (7) 2.2.8检查异常隐含文件 (7) 第3章日志审计 (9) 3.1日志 (9) 3.1.1syslog登录事件记录 (9) 3.2审计 (9) 3.2.1Syslog.conf的配置审核 (9) 第4章系统文件 (11) 4.1系统状态 (11) 4.1.1系统core dump状态 (11) 第5章评审与修订 (12)

第1章概述 1.1目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的LINUX操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行LINUX操作系统的安全合规性检查和配置。 1.2适用范围 本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的LINUX 服务器系统。 1.3适用版本 LINUX系列服务器； 1.4实施 本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。 本标准发布之日起生效。 1.5例外条款 欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

实验一：Linux用户管理与安全策略

操作系统安全Operating System Security Linux系统安全实验讲义 2013年12版本

实验一：Linux用户管理与安全策略1实验目的 ●通过实验熟悉Linux 环境下的用户操作管理； ●了解PAM工作原理和配置方法； ●掌握Linux 操作系统中常用用户安全策略配置； 2实验原理 2.1用户与用户组的基本体系 ●Linux提供了安全的用户名和口令文件保护以及强大的口令设置规 则，并对用户和用户组的权限进行细粒度的划分。 ●Linux 系统的用户和用户组的信息分别保存在 ?/etc/shadow ?/etc/passwd ?/etc/group ?/etc/gshadow 等几个文件中， ●/etc/passwd文件是系统用户认证访问权限的第一个文件。 文件的行格式如下：

login_name:password:uid:gid:user info: home_directory:default_shell ?其中： ?login_name：用户帐户，可以用1~8个字符表示，区分大小写， 避免使用数字开头； ?password：加密后的用户登录系统的密码； ?uid：系统指定给每个用户的唯一数值，即用户标识符，32位系统 中标识符在0~60 000之间。； ?gid：用户组标识； ?user info：用户注释信息（如用户身份、电话号码、特性等）； ?home_directory：用户的主目录（家目录）； ?default_shell：用户登录系统时默认执行的Shell程序，通常为 /bin/sh，表示执行Bourne Shell。如果是Korn Shell则用 /usr/bin/ksh。如果是C Shell则用/usr/bin/csh。如果是TC Shell 则用/usr/bin/tcsh（较少使用）。如果是Bash Shell则用 /usr/bin/bash（Linux系统） 特别说明： Linux 系统支持以命令行或窗口方式管理用户和用户组，本实验要求使用命令行方式实现，窗口方式为学生自行了解和掌握内容。 2.2PAM安全验证机制 详见课程讲义和教学课件

Linux安全策略配置

Linux安全策略配置

目录 一、关闭不必要的服务 (3) 二、控制使用开放的服务的用户 (4) 三、"/ETC/EXPORTS"文件设置 (6) 四、禁止使用控制台程序 (7) 五、"/ETC/ALIASES"文件 (8) 六、使系统对PING没有反应 (9) 七、不要显示系统提示信息 (10) 八、"/ETC/HOST.CONF"文件 (10) 九、防止源路由 (11) 十、使TCP SYN COOKIE保护生效 (12) 十一、特殊的帐号 (12) 十二、防止任何人都可以用SU命令成为ROOT (14) 十三、把RPM程序转移到一个安全的地方，并改变默认的访问许可 (15) 十四、登录SHELL (16) 十五、改变"/ETC/RC.D/INIT.D/"目录下的脚本文件的访问许可 (17) 十六、"/ETC/RC.D/RC.LOCAL"文件 (17)

一、关闭不必要的服务 Linux的服务分为两种，一种是由inetd超级服务器来启动的，如:ftp、telnet等；对于这些服务来说，系统并不总是运行telnetd、 ftpd等服务进程，而是由inetd进程监听这些服务的服务端口，一旦有服务请求到达就启动对应的服务进程(如:telnetd等)来提供服务。另外一种是独立的服务器，系统一直运行有对应的服务进程。 关闭这两种服务的方法是不同的，对于inetd启动的进程： inetd超级服务器的配置文件为/etc/inetd.conf，该文件指示了inetd应该监听哪些服务请求，并在请求时启动对应的服务。因此只要通过编辑 /etc/inetd.conf文件就可以实现关闭不需要的服务，例如希望关闭pop3服务，则在编辑/etc/inetd.conf文件以前文件中有如下的内容： pop-3 stream tcp nowait root /usr/sbin/tcpd ipop3d 要关闭pop3服务则在该行前添加注释符即可： #pop-3 stream tcp nowait root /usr/sbin/tcpd ipop3d 通过编辑该文件，实现关闭不需要的服务(例如我的系统我仅仅开放了telnet和ftp服务)以后，则需要重新启动inetd超级服务器。首先找到inetd 的进程号： [root@aid /etc]# ps ax|grep inetd 358 ? S 0:00 inetd 然后重新启动inetd服务器： [root@aid /etc]# kill -HUP 358 最后因为inetd.conf应该不允许普通用户读写，因此设置其访问权限为600: chmod 600 /etc/inetd.conf 而且该文件应该不被任何用户修改，包括root用户。因此为了防止用户错误的修改该文件，为该文件添加不可修改位： chattr i /etc/inetd.conf 对于独立服务器，则需要通过/usr/sbin/ntsysv命令来修改：

Linux服务器安全防护部署精品文档12页

Linux服务器安全防护部署 Abstract Linux operating system is an operating system with open source code， its excellent stability， safety， strong load capacity， compared to the Windows operating system has more advantages. But does not represent a safety problem does not exist in the Linux system， Linux system after the installation is complete， must carry out the necessary configuration， to enhance the security of Linux server， and decrease the possibility of the system to be attacked， increase the stability of the system. Keywords Linux The server Safety The firewall System optimiza-tion 1 用户权限配置 1）屏蔽、删除被操作系统本身启动的不必要的用户和用户组。Linux 提供了很多默认的用户和用户组，而用户越多，系统就越容易受到利用和攻击，因此删除不必要的用户和用户组可提高系统的安全性。 命令：userdel 用户名 groupdel 用户组名 2）用户口令应使用字母、数字、特殊符号的无规则组合，绝对不要单独使用英语单子或词组，必须保证在密码中存在至少一个特殊符号和一个数字。强制要求系统中非root用户密码最大使用天数为60天、长度不能小于8位。 命令：vi /etc/login.defs

Red Hat Linux服务器安全策略详解之MRTG安装配置

17.1 安装配置MRTG监控Linux网络 17.1.1 SNMP简介和MRTG监控过程 1．SNMP简介 SNMP是专门设计用于在 IP 网络管理网络节点（服务器、工作站、路由器、交换机及HUBS等）的一种标准协议，它是一种应用层协议。SNMP可以提高网络管理员管理网络的效率，发现并解决网络问题，以及规划网络增长。通过SNMP接收随机消息（及事件报告）网络管理系统获知网络出现问题。简单网络管理协议（SNMP）首先是由Internet工程任务组织（Internet Engineering Task Force）（IETF）的研究小组为了解决Internet上的路由器管理问题而提出的。许多人认为SNMP在IP上运行的原因是Internet运行的是TCP/IP，然而事实并不是这样的。SNMP被设计成与协议无关，所以它可以在IP, IPX, AppleTalk, OSI，以及其他用到的传输协议上被使用。 SNMP运行在UDP之上，它利用的是UDP的161/162端口。其中161端口被设备代理监听，等待接受管理者进程发送的管理信息--查询请求消息；162端口由管理者进程监听等待设备代理进程发送的异常事件报告--陷阱消息，如Trap等。SNMP提供三类操作，分别为Get、Set和Trap。 2．MRTG监控过程 服务器的操作系统多种多样，使用较多的一般是UNIX类或Windows类操作系统，它们都支持SNMP。例如，对于Windows系统而言，只要增加"管理和监控工具"中的Windows组件，就有了对SNMP的支持。 服务器启动SNMP后，就会开放161/162端口。管理员如果要监控这台机器，就要在自己的机器上安装MRTG，然后通过MRTG向服务器的161/162端口发出查询等请求，取得数据后会生成图形及HTML文档的流量报告。这就是MRTG简单的监控过程。 17.1.2 Linux下MRTG的安装与配置 MRTG通过SNMP从设备中得到使用设备（如交换机）的网络流量信息，并把PNG格式图形以HTML方式显示出来，便于网络管理员对所监控设备（交换机）进行管理。目前市场上可网管型（智能）的交换机都支持SNMP，可以通过MRTG进行网络流量监控。 下面以Red Hat Linux 9.0为例介绍MRTG的安装与配置。 1．安装基础软件包 要安装MRTG软件包必须首先安装gcc、perl、gd、libpng、zlib、freetype等软件包。 2．安装配置net-snmp 光盘里有net-snmp的安装RPM包，安装完以后，配置/etc/snmp/snmpd.conf文件，使其能配合MRTG工作。

Linux安全配置标准

. .. . Linux安全配置标准 一.目的 《Linux安全配置标准》是Qunar信息系统安全标准的一部分，主要目的是根 据信息安全管理政策的要求，为我司的Linux系统提供配置基准，并作为 Linux系统设计、实施及维护的技术和安全参考依据。 二.围 安全标准所有条款默认适用于所有Linux系统，某些特殊的会明确指定适用 围。 三.容 3.1 软件版本及升级策略 操作系统核及各应用软件，默认采用较新的稳定版本，不开启自动更新功 能。安全组负责跟踪厂商发布的相关安全补丁，评估是否进行升级。 3.2 账户及口令管理 3.2.1 远程登录管理 符合以下条件之一的，属"可远程登录"： (1) 设置了密码，且处于未锁定状态。 (2) 在$HOME/.ssh/authorized_keys放置了public key "可远程登录"的管理要求为： . 资料.

(1) 命名格式与命名格式保持一致 (2) 不允许多人共用一个，不允许一人有多个。 (3) 每个均需有明确的属主，离职人员应当天清除。 (4) 特殊需向安全组报批 3.2.2 守护进程管理 守护进程启动管理要求 (1) 应建立独立，禁止赋予sudo权限，禁止加入root或wheel等高权限组。 (2) 禁止使用"可远程登录"启动守护进程 (3) 禁止使用root启动WEB SERVER/DB等守护进程。 3.2.3 系统默认管理（仅适用于财务管理重点关注系统） 删除默认的，包括：lp,sync,shutdown, halt, news, uucp, operator, games, gopher等 3.2.4 口令管理 口令管理应遵循《密码口令管理制度》，具体要求为 (1) 启用密码策略 /etc/login.defs

Red Hat Linux服务器安全策略

Red Hat Linux服务器安全策略 一:启动信息安全 1、为单用户引导加上密码 在“/etc/lilo.conf”文件中加入三个参数：time-out,restricted,password。这三个参数可以使你的系统在启动lilo时就要求密码验证。 a)：编辑lilo.conf文件（vi /etc/lilo.conf）,假如或改变这三个参数： boot=/dev/hda map=/boot/map install=/boot/boot.b time-out=00 #把这行该为00 prompt Default=linux ##########加入这行 restricted ##########加入这行并设置自己的密码 password= image=/boot/vmlinuz-2.2.14-12 label=linux initrd=/boot/initrd-2.2.14-12.img root=/dev/hda6 read-only b)：因为"/etc/lilo.conf"文件中包含明文密码，所以要把它设置为root权限读取。 [root]# chmod 600 /etc/lilo.conf c)：更新系统，以便对“/etc/lilo.conf”文件做的修改起作用。 [root]# /sbin/lilo -v d）：使用“chattr”命令使"/etc/lilo.conf"文件变为不可改变。 [root]# chattr +i /etc/lilo.conf 2、禁止Control-Alt-Delete 键盘关闭命令 在"/etc/inittab" 文件中注释掉下面这行： #ca::ctrlaltdel:/sbin/shutdown -t3 -r now 为了使这项改动起作用，输入下面这个命令： [root]# /sbin/init q 二、隐藏系统的信息 1、历史命令 Bash shell在“~/.bash_history”（“~/”表示用户目录）文件中保存了500条使用过的命令，这样可以使你输入使用过的长命令变得容易。每个在系统中拥有账号的用户在他的目录下都有一个“.bash_history”文件。 bash shell应该保存少量的命令，并且在每次用户注销时都把这些历史命令删除。

Linux安全配置标准

Linux安全配置标准 一.目的 《Linux安全配置标准》是Qunar信息系统安全标准的一部分，主要目的是根据信息安全管理政策的要求，为我司的Linux系统提供配置基准，并作为Linux 系统设计、实施及维护的技术和安全参考依据。 二.范围 安全标准所有条款默认适用于所有Linux系统，某些特殊的会明确指定适用范围。 三.内容 3.1 软件版本及升级策略 操作系统内核及各应用软件，默认采用较新的稳定版本，不开启自动更新功能。安全组负责跟踪厂商发布的相关安全补丁，评估是否进行升级。 3.2 账户及口令管理 3.2.1 远程登录帐号管理 符合以下条件之一的，属"可远程登录帐号"： (1) 设置了密码，且帐号处于未锁定状态。 (2) 在$HOME/.ssh/authorized_keys放置了public key "可远程登录帐号"的管理要求为：

(1) 帐号命名格式与邮件命名格式保持一致 (2) 不允许多人共用一个帐号，不允许一人有多个帐号。 (3) 每个帐号均需有明确的属主，离职人员帐号应当天清除。 (4) 特殊帐号需向安全组报批 3.2.2 守护进程帐号管理 守护进程启动帐号管理要求 (1) 应建立独立帐号，禁止赋予sudo权限，禁止加入root或wheel等高权限组。 (2) 禁止使用"可远程登录帐号"启动守护进程 (3) 禁止使用root帐号启动WEB SERVER/DB等守护进程。 3.2.3 系统默认帐号管理（仅适用于财务管理重点关注系统） 删除默认的帐号，包括：lp,sync,shutdown, halt, news, uucp, operator, games, gopher等 3.2.4 口令管理 口令管理应遵循《密码口令管理制度》，具体要求为 (1) 启用密码策略 /etc/login.defs

linux服务器的安全与备份策略

Linux服务器的日常运维安全与备份一．网络基础 首先当服务器的linux系统搭建起来以后，我们首先需要考虑的就是连接上Internet了，这就需要我们通过网卡来实现这个目的。一块网卡足以提供服务器的链接至网络的需求。但是为了服务器日常运行的稳定性，这里还是建议采用双网卡绑定的方案。 双网卡绑定的话有一般有两种工作模式： 1.主备模式：,当一个网络接口失效时(例如主交换机掉电等),不会出现网络中断，系统会 按照/etc/rc.d/rc.local里指定网卡的顺序工作,机器仍能对外服务,起到 了失效保护的功能. 2.负载均衡工作模式：他能提供两倍的带宽,在这种情况下出现一块网卡失效,仅仅会是 服务器出口带宽下降,也不会影响网络使用. 建议可以根据实际需求在这两种模式下进行二选一 二．linux服务器基本的安全配置 一、Linux系统的安全策略 1.仔细设置每个内部用户的权限 为了保护Linux网络系统的资源，在给内部网络用户开设帐号时，要仔细设置每个内部用户的权限，一般应遵循“最小权限”原则，也就是仅给每个用户授予完成他们特定任务所必须的服务器访问权限，确保用户口令文件/etc/shadow的安全 2.谨慎设置登录口令 对于网络系统而言，口令是比较容易出问题的地方，应告诉用户在设置口令时要使用安全口令（在口令序列中使用非字母，非数字等特殊字符）并适当增加口令的长度（大于6个字符）。要保护好/etc/passwd和/etc/shadow这两个文件的安全，不让无关的人员获得这两个文件，这样黑客利用John等程序对/etc/passwd和/etc/shadow文件进行了字典攻击获取用户口令的企图就无法进行。要定期用John等程序对本系统的/etc/passwd和/etc/shadow文件进行模拟字典攻击，一旦发现有不安全的用户口令，要强制用户立即修改。 3.加强对系统运行的监控和记录 保证对整个网络系统的运行状况进行监控和记录，这样通过分析记录数据，可以发现可疑的网络活动，并采取措施预先阻止今后可能发生的入侵行为。如果进攻行为已经实施，则可以利用记录数据跟踪和识别侵入系统的黑客。 4.合理划分子网和设置防火墙 如果内部网络要进入Internet，必须在内部网络与外部网络的接口处设置防火墙，以确保内部网络中的数据安全。对于内部网络本身，为了便于管理，合理分配IP地址资源，应该将内部网络划分为多个子网，这样做也可以阻止或延缓黑客对整个内部网络的入侵。

linux系统安全加固方法

1概述.......................................................... - 1 - 1.1适用范围 ..................................................................................................... - 1 - 2用户账户安全加固.............................................. - 1 - 2.1修改用户密码策略 ...................................................................................... - 1 - 2.2锁定或删除系统中与服务运行，运维无关的的用户 .............................. - 1 - 3 4 4.2禁用“CTRL+ALT+DEL”重启系统............................................................... - 7 - 4.3加密grub菜单............................................................................................. - 7 -

1概述 1.1适用范围 本方案适用于银视通信息科技有限公司linux主机安全加固，供运维人员参考对linux 主机进行安全加固。 2用户账户安全加固 2.2锁定或删除系统中与服务运行，运维无关的的用户 （1）查看系统中的用户并确定无用的用户 （2）锁定不使用的账户（锁定或删除用户根据自己的需求操作一项即可） 锁定不使用的账户：

linux安全策略

linux安全策略 密码策略： 1、密码有效期 /etc/login.defs中 PASS_MAX_DAYS180 PASS_MIN_DAYS0 PASS_MIN_LEN12 PASS_WARN_AGE15 UMASK 027 USERGROUPS_ENAB yes ENCRYPT_METHOD SHA512 2、密码复杂度检查 /etc/security/pwquality.conf minlen=10 minclass=3 3、密码错误尝试次数 /etc/ssh/sshd_config中 取消MaxAuthTries注释符号#并设置MaxAuthTries 3 4、检查密码重用是否受限制 在/etc/pam.d/password-auth和/etc/pam.d/system-auth中password sufficient pam_unix.so 这行的末尾配置remember参数为5-24之间，原来的内容不用更改，只在末尾加了remember=5。 SSH策略： 1、SSH空闲超时退出时间 /etc/ssh/sshd_config中 ClientAliveInterval 600 ClientAliveCountMax 2 2、禁止SSH空密码用户登录 /etc/ssh/sshd_config中 PermitEmptyPasswords no 3、调整SSH Loglevel /etc/ssh/sshd_config中 LogLevel INFO

文件策略： 1、访问控制配置文件权限设置 运行如下命令： chown root:root /etc/hosts.allow chown root:root /etc/hosts.deny chmod 644 /etc/hosts.deny 2、设置用户权限配置文件的权限 运行如下命令： chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow chmod 0644 /etc/group chmod 0644 /etc/passwd chmod 0400 /etc/shadow chmod 0400 /etc/gshadow chmod 644 /etc/hosts.allow 其他策略： 1、开启地址空间布局随机化 /etc/sysctl.conf中 kernel.randomize_va_space = 2 并运行命令： sysctl -w kernel.randomize_va_space=2 2、开启日志服务 运行命令启用rsyslog服务 systemctl enable rsyslog systemctl start rsyslog

linux安全配置

1．概述 Linux服务器版本：RedHat Linux AS 对于开放式的操作系统---Linux，系统的安全设定包括系统服务最小化、限制远程存取、隐藏重要资料、修补安全漏洞、采用安全工具以及经 常性的安全检查等。本文主要从用户设置、如何开放服务、系统优化等方面进行系统的安全配置，以到达使Linux服务器更安全、稳定。 2．用户管理 在Linux系统中，用户帐号是用户的身份标志，它由用户名和用户口令组成。系统将输入的用户名存放在/etc/passwd文件中，而将输入的口令 以加密的形式存放在/etc/shadow文件中。在正常情况下，这些口令和其他信息由操作系统保护，能够对其进行访问的只能是超级用户(root)和 操作系统的一些应用程序。但是如果配置不当或在一些系统运行出错的情况下，这些信息可以被普通用户得到。进而，不怀好意的用户就可以 使用一类被称为“口令破解”的工具去得到加密前的口令。 2．1 删除系统特殊的的用户帐号和组帐号： #userdel username userdel adm userdel lp userdel sync userdel shutdown

userdel halt userdel news userdel uucp userdel operator userdel games userdel gopher 以上所删除用户为系统默认创建，但是在常用服务器中基本不使用的一些帐号，但是这些帐号常被黑客利用和攻击服务器。 #groupdel username groupdel adm groupdel lp groupdel news groupdel uucp groupdel games groupdel dip 同样，以上删除的是系统安装是默认创建的一些组帐号。这样就减少受攻击的机会。 2．2 用户密码设置： 安装linux时默认的密码最小长度是5个字节，但这并不够，要把它设为8个字节。修改最短密码长度需要编辑login.defs文件 （vi/etc/login.defs） PASS_MAX_DAYS 99999 ##密码设置最长有效期（默认值）

linux安全配置规范

Linux 安全配置规范 2010年11月

第一章概述 1.1适用范围 适用于中国电信使用Linux操作系统的设备。本规范明确了安全配置的基本要求，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。 第二章安全配置要求 2.1账号 编号：1 要求内容应按照不同的用户分配不同的账号，避免不同用户间共享账号，避 免用户账号和设备间通信使用的账号共享。 操作指南1、参考配置操作 为用户创建账号： #useradd username #创建账号 #passwd username #设置密码 修改权限： #chmod 750 directory #其中750为设置的权限，可根据实际情况 设置相应的权限，directory是要更改权限的目录) 使用该命令为不同的用户分配不同的账号，设置不同的口令及权限 信息等。 2、补充操作说明 检测方法1、判定条件 能够登录成功并且可以进行常用操作； 2、检测操作 使用不同的账号进行登录并进行一些常用操作； 3、补充说明 编号：2 要求内容应删除或锁定与设备运行、维护等工作无关的账号。 操作指南1、参考配置操作 删除用户：#userdel username;

锁定用户： 1)修改/etc/shadow文件，用户名后加*LK* 2)将/etc/passwd文件中的shell域设置成/bin/false 3)#passwd -l username 只有具备超级用户权限的使用者方可使用，#passwd -l username锁 定用户,用#passwd –d username解锁后原有密码失效，登录需输入 新密码，修改/etc/shadow能保留原有密码。 2、补充操作说明 需要锁定的用户：listen,gdm,webservd,nobody,nobody4、noaccess。 检测方法1、判定条件 被删除或锁定的账号无法登录成功； 2、检测操作 使用删除或锁定的与工作无关的账号登录系统； 3、补充说明 需要锁定的用户：listen,gdm,webservd,nobody,nobody4、noaccess。 编号：3 要求内容限制具备超级管理员权限的用户远程登录。 远程执行管理员权限操作，应先以普通权限用户远程登录后，再切 换到超级管理员权限账号后执行相应操作。 操作指南1、参考配置操作 编辑/etc/passwd，帐号信息的shell为/sbin/nologin的为禁止远程登 录，如要允许，则改成可以登录的shell即可，如/bin/bash 2、补充操作说明 如果限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将 PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。 检测方法1、判定条件 root远程登录不成功，提示“没有权限”； 普通用户可以登录成功，而且可以切换到root用户； 2、检测操作 root从远程使用telnet登录； 普通用户从远程使用telnet登录； root从远程使用ssh登录； 普通用户从远程使用ssh登录； 3、补充说明 限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将 PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。 编号：4 要求内容对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加

Linux服务器主机安全方案

如某项主机安全要求涉及到系统配置和服务状态的更改，则需要依次执行如下操作 1）查看和记录相关服务的初始状态 2）备份相关的系统配置 3）更改系统配置和服务状态 4）生成恢复系统配置和服务状态的命令或shell脚本。 操作之前先备份系统的如下文件： /etc/login.defs /etc/passwd /etc/shadow /etc/pam.d/system-auth /etc/ssh/sshd_config 1.1 身份鉴别 1.1.1 a) 是否对登录操作系统和数据库系统的用户进行身份标识和鉴别 登录操作系统和数据库系统，均需要通过用户名和密码进行验证 1.1.2 b) 操作系统和数据库系统管理用户身份标识是否具有不易被冒用的特点，口令是否有复杂度要求并定期更换 1. 口令复杂度 口令必须具备采用3种以上字符、长度不少于8位并定期更换； #vi /etc/pam.d/system_auth password requisite pam_cracklib.so minlen=8 ucredit=1 lcredit=1 dcredit=1 ocredit=1 意思为最少有1个大写字母，1个小写字符，1个数字， 1个符号 2. 口令有效期 # vi /etc/login.defs PASS_MAX_DAYS 60 1.1.3 c) 是否启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施 设置6次登陆失败后锁定帐户，锁定时间3000秒 # vi /etc/pam.d/system-auth auth required pam_tally.so onerr=fail deny=6 unlock_time=3000 (放在system-auth文件的第一行，若对root用户起作用，加上even_deny_root root_unlock_time=3000) 解锁用户 faillog -u <用户名》 -r 1.1.4 d) 当对服务器进行远程管理时，是否采取必要措施，防止鉴别信息在网络传输过程中被窃听 远程管理时应启用SSH等管理方式，加密管理数据，防止被网络窃听。

Linux服务器安全策略分析

第一章Linux网络基础与Linux服务器的安全威胁 1.1.1Linux网络结构的特点 1.1 Linux网路基础 1.1.1Linux网络结构的特点 Linux在服务器领域已经非常成熟，其影响力日趋增大。Linux的网络服务功能非常强大，但是由于Linux的桌面应用和Windows相比还有一定差距，除了一些Linux专门实验室之外，大多数企业在应用Linux系统时，往往是Linux和Windows(或UNIX)等操作系统共存形成的异构网络。 在一个网络系统中，操作系统的地位是非常重要的。Linux网络操作系统以高效性和灵活性而著称。它能够在PC上实现全部的UNIX特性，具有多任务、多用户的特点。 Linux 的组网能力非常强大，它的TCP/IP代码是最高级的。Linux不仅提供了对当前的TCP/IP协议的完全支持，也包括了对下一代 Internet协议IPv6的支持。Linux核还包括了IP防火墙代码、IP防伪、IP服务质量控制及许多安全特性。Linux的网络实现是模仿 FreeBSD的，它支持FreeBSD的带有扩展的Sockets(套接字)和TCP/IP协议。它支持两个主机间的网络连接和Sockets通信模型，实现了两种类型的Sockets：BSD Sockets和INET Sockets。它为不同的通信模型提供了两种传输协议，即不可靠的、基于消息的UDP传输协议和可靠的、基于流的TCP传输协议，并且都是在IP网际协议上实现的。INET Sockets是在以上两个协议及IP网际协议之上实现的，它们之间的关系如图1-1所示。 图1-1 Linux网络中的层

掌握OSI网络模型、TCP/IP模型及相关服务对应的层次对于理解Linux网络服务器是非常重要的。 1.1.2 TCP/IP四层模型和OSI七层模型 表1-1是 TCP/IP四层模型和OSI七层模型对应表。我们把OSI七层网络模型和Linux TCP/IP 四层概念模型对应，然后将各种网络协议归类。 表1-1 TCP/IP四层模型和OSI七层模型对应表 1．网络接口 网络接口把数据链路层和物理层放在一起，对应TCP/IP概念模型的网络接口。对应的网络协议主要是：Ethernet、FDDI和能传输IP数据包的任何协议。 2．网际层 网络层对应Linux TCP/IP概念模型的网际层，网络层协议管理离散的计算机间的数据传输，如IP协议为用户和远程计算机提供了信息包的传输方法，确保信息包能正确地到达目的机器。这一过程中，IP和其他网络层的协议共同用于数据传输，如果没有使用一些监视系统进程的工具，用户是看不到在系统里的IP的。网络嗅探器 Sniffers是能看到这些过程的一个装置（它可以是软件，也可以是硬件），它能读取通过网络发送的每一个包，即能读取发生在网络层协议的任何活动，因此网络嗅探器Sniffers会对安全造成威胁。重要的网络层协议包括ARP（地址解析协议）、ICMP（Internet控制消息协议）和IP协议（网际协议）等。 3．传输层 传输层对应Linux TCP/IP概念模型的传输层。传输层提供应用程序间的通信。其功能包括：格式化信息流；提供可靠传输。为实现后者，传输层协议规定接收端必须发回确认信息，