系统层面上的加固
- 备份重要配置文件:将一些重要的系统配置文件备份,包括
/etc/login.defs、/etc/security/limits.conf等等。 - 进行账号安全加固:修改密码安全策略,设置密码存在最长时间、密码长度、密码过期提醒等。
(密码存在最长90天、密码长度最短8位、密码过期提醒) - 用户标识功能:配置一个函数
userdel(),在删除用户时记录被删除用户的用户名和 UID,并将其写入/etc/obsolete_user文件中。 - 配置口令锁定策略和重复次数限制。
(口令锁定策略:用户输入错误密码到达一定次数后,系统锁定该用户一段时间,防止暴力破解,修改密码时不允许一样) - 访问控制:配置一个脚本
set_user_default_acl.sh,用于设置用户的默认权限。 - 审计日志配置:配置 Linux 审计日志规则,记录系统中的操作和事件。
- 修改 SSH 配置:修改 SSH 端口号和禁止 root 用户通过 SSH 远程登录。
- 用户检查:检查系统中的登录用户、特权用户和空密码用户。
- 配置历史命令记录和定时帐户自动登出时间。
- 禁止 ICMP 重定向,并配置 IP 安全策略。
- 文件的权限:备份/etc/passwd、/etc/shadow、/etc/group三个关键账户文件,修改权限为644,所有者有读写权限,其他的只有读
- su权限用户组:限制能够使用su命令切换用户和用户组
- 来源IP限制:对IP的访问控制设置
背账用口 s用力爱P
