1、1归纳.-1-1.1合用范围.-1-2用户账户安全加固.-1-2.1更正用户密码策略.-1-2.2锁定或删除系统中与服务运转，运维没关的的用户.-1-2.3锁定或删除系统中不使用的组.-2-2.4限制密码的最小长度.-2-3用户登录安全设置.-3-3.1严禁root用户远程登录.-3-3.2设置远程ssh登录超不时间.-3-3.3设置当用户连续登录失败三次，锁定用户30分钟.-4-3.4设置用户不可以使用近来五次使用过的密码.-5-3.5设置登陆系统账户超时自动退出登陆.-5-4系统安全加固.-6-4.1关闭系统中与系统正常运转、业务没关的服务.-6-4.2禁用“CTRL+ALT+DEL”重启2、系统.-6-4.3加密grub菜单.-6-归纳1.1合用范围本方案合用于银视通讯息科技有限公司linux主机安全加固，供运维人员参照对linux主机进行安全加固。用户账户安全加固2.1更正用户密码策略1）更正前备份配置文件：/etc/login.defs2）更正编写配置文件：vi/etc/login.defs，更正以下配置：PASS_MAX_DAYS90（用户的密码但是期最多的天数）PASS_MIN_DAYS0（密码更正之间最小的天数）PASS_MIN_LEN8（密码最小长度）PASS_WARN_AGE7(口令无效前多少天开始通知用户改正密码)3）回退操作2.2锁定或删除系统中与服务运转，运维3、没关的的用户（1）查察系统中的用户并确立无用的用户#more/etc/passwd2）锁定不使用的账户（锁定或删除用户依据自己的需求操作一项即可）锁定不使用的账户：#usermod-Lusername或删除不使用的账户：#userdel-fusername3）回退操作用户锁定后当使用时可排除锁定，排除锁定数令为：#usermod-Uusername2.3锁定或删除系统中不使用的组1）操作前备份组配置文件/etc/group#cp/etc/group/etc/group.bak（2）查察系统中的组并确立不使用的组#cat/etc/group3）删除或锁定不使用的组锁定不使用的组：更正组配置文件/4、etc/group，在不使用的组前加“#”说明掉该组即可删除不使用的组：#groupdelgroupname（4）回退操作#cp/etc/group.bak/etc/group2.4限制密码的最小长度1）操作前备份组配置文件/etc/pam.d/system-auth（ 2）设置密码的最小长度为8更正配置文件pam_pwquality.so/etc/pam.d,try_first_pass内行”passwordlocal_users_onlyrequisiteretry=3authtok_type=”中增加“minlen=8”，或使用sed更正：#sed-is#passwordrequisit5、epam_pwquality.sotry_first_passlocal_users_onlyretry=3authtok_type=#passwordrequisitepam_pwquality.sotry_first_passlocal_users_onlyretry=3minlen=8authtok_type=#g/etc/pam.d/system-auth（3）回退操作用户登录安全设置3.1严禁root用户远程登录1）更正前备份ssh配置文件/etc/ssh/sshd_conf#cp/etc/ssh/sshd_conf/etc/ssh/sshd_conf.bak（2）更正ssh服务配置6、文件不同意root用户远程登录编写/etc/ssh/sshd_config找到“#PermitRootLoginyes”去掉说明并更正为“PermitRootLoginno”也许使用sed更正，更正命令为：#sed-is#PermitRootLoginyesPermitRootLoginnog/etc/ssh/sshd_config3）更正完成后重启ssh服务Centos6.x为：#servicesshdrestartCentos7.x为：#systemctlrestartsshd.service（4）回退操作#cp/etc/ssh/sshd_config.bak/etc/ssh/sshd_c7、onfig3.2设置远程ssh登录超不时间1）更正前备份ssh服务配置文件/etc/ssh/sshd_config#cp/etc/ssh/sshd_conf/etc/ssh/sshd_conf.bak（2）设置远程ssh登录长时间不操作退出登录编写/etc/ssh/sshd_conf将”#ClientAliveInterval0”更正为”ClientAliveInterval180”，将”#ClientAliveCountMax3去掉注”释，或执行以下命令：#sed-is#ClientAliveInterval0ClientAliveInterval180g/etc/ssh/sshd_conf8、ig#sed-is#ClientAliveCountMax3ClientAliveCountMax3g/etc/ssh/sshd_config3）配置完成后保存并重启ssh服务Centos6.x为：#servicesshdrestartCentos7.x为：#systemctlrestartsshd.service（4）回退操作#cp/etc/ssh/sshd_config.bak/etc/ssh/sshd_config3.3设置当用户连续登录失败三次，锁定用户30分钟1）配置前备份配置文件/etc/pam.d/sshd#cp/etc/pam.d/sshd/etc/pam.d/sshd.bak9、（2）设置当用户连续输入密码三次时，锁定该用户30分钟更正配置文件/etc/pam.d/sshd,在配置文件的第二行增加内容:authrequiredpam_tally2.sodeny=3unlock_time=300（3）若更正配置文件出现错误，回退即可，回退操作：#cp/etc/pam.d/sshd.bak/etc/pam.d/sshd3.4设置用户不可以使用近来五次使用过的密码1）配置前备份配置文件/etc/pam.d/sshd#cp/etc/pam.d/system-auth/etc/pam.d/system-auth.bak（2）配置用户不可以使用近来五次使用的密码更正配置文件/et10、c/pam.d/sshd,找到行”passwordsufficientpam_unix.sosha512shadownulloktry_first_passuse_authtok”，在最后加入remember=10，或使用sed更正#sed-is#passwordsufficientpam_unix.sosha512shadownulloktry_first_passuse_authtokpasswordsufficientpam_unix.sosha512shadownulloktry_first_passuse_authtokremember=10g/etc/ssh/sshd_config11、（3）回退操作#cp/etc/pam.d/sshd.bak/etc/pam.d/sshd3.5设置登陆系统账户超时自动退出登陆（1）设置登录系统的账号长时间不操作时自动登出更正系统环境变量配置文件/etc/profile,在文件的末端加入”TMOUT=180”,使登录系统的用户三分钟不操作系统时自动退出登录。（ #echoTMOUT=180/etc/profile2）使配置奏效执行命令：#./etc/profile#或source/etc/profile（3）回退操作删除在配置文件”/etc/profile”中增加的”TMOUT=180”，执行命令./etc/profile使配置奏效。系统安全12、加固4.1关闭系统中与系统正常运转、业务没关的服务1）查察系统中的全部服务及运转级别，并确立哪些服务是与系统的正常运转及业务没关的服务。#chkconfig-list（2）关闭系统中不用的服务#chkconfigservernameoff（3）回退操作，假如不测关闭了与系统业务运转相关的服务，可将该服务开启#chkconfigservernameon4.2禁用“CTRL+ALT+DEL”重启系统（1）rhel6.x中禁用“ctrl+alt+del”键重启系统更正配置文件“/etc/init/control-alt-delete.confcontrol-alt-delete?”。或用sed命令更13、正：”，说明掉行“starton#sed-isstartoncontrol-alt-delete#startoncontrol-alt-deleteg/etc/init/control-alt-delete.conf2）rhel7.x中禁用“ctrl+alt+del”键重启系统更正配置文件“/usr/lib/systemd/system/ctrl-alt-del.target”，说明掉全部内容。（3）使更正的配置奏效#initq4.3加密grub菜单1、加密Redhat6.xgrub菜单1）备份配置文件/boot/grub/grub.conf2）将密码生成秘钥#grub-md5-cryptPa14、ssword:Retypepassword:3）为grub加密更正配置文件/boot/grub/grub.conf,在”timeout=5”行下加入”password-md5$1$CgxdR/$9ipaqi8aVriEpF0nvfd8x”，.”$1$CgxdR/$9ipaqi8aVriEpF0nvfd8x”为.加密后的密码。（4）回退也许删除加入行”password-md5$1$CgxdR/$9ipaqi8aVriEpF0nvfd8x”.2、加密redhat7.xgrub菜单1）在”/etc/grub.d/00_header”文件末端，增加以下内容catEOFsetsuperusers=adminpasswordadminqwe123E0F2）重新编译生成grub.cfg文件#grub2-mkconfig-o/boot/grub2/grub.cfg（3）回退操作删除/etc/grub.d/00_header中增加的内容，并重新编译生成grub.cfg文件