20個Linux伺服器安全強化建議（二）

接上文，繼續介紹一些linux伺服器的安全配置。

#6、強密碼策略。

當我們使用 useradd、usermod 命令建立或維護使用者賬號時，確保始終應用強密碼策略。例如，乙個好的密碼至少包括8個字元，包含了字母、數字以及特殊字串、大小寫等。使用諸如「john the ripper」這樣的工具來查詢弱口令使用者，使用 pam_cracklib.so 來增強密碼策略。

#6.1 密碼生命週期。

chage 命令能夠修改口令的修改週期，以及最近一次密碼修改的日期。系統依據這些資訊判斷使用者口令是否應該修改。在 /etc/login.defs 檔案中定義了包括密碼生命週期在內的一些選項。如果需要對某個使用者禁用密碼生命週期，如下：

1 # chage -m 99999 username

獲取密碼過期資訊，輸入：

1 chage -l username

我們也可以在 /etc/shadow 檔案中定義這些字段：

::::::::

其中：minimum_days 定義密碼修改的最小時間間隔，也就是使用者能夠修改密碼的最小時間間隔。maximum_days 定義密碼有效的時間間隔，超過這個時間，使用者就必須修改密碼。warn 定義口令過期多少天前開始向使用者提示進行口令修改。expire 定義從2023年1月1日到過期時的天數，之後該使用者將無法再登入。

建議使用 chage 命令，而不是修改 /etc/shadow 檔案

1 # chage -m 60 -m 7 -w 7 username

#6.2、禁止使用之前用過的密碼。

可以設定禁止所有使用者使用之前的舊密碼，pam_unix 模組提供了這個功能，允許我們定義之前幾個舊密碼不能使用。

#6.3、登入失敗後鎖定使用者。

在linux中可以使用 faillog 命令來顯示失敗的登入或者設定失敗登入限制。檢視失敗的登入，可以輸入：

faillog

解鎖登入失敗的使用者，執行

faillog -r -u username

注意可以使用 passwd 命令來鎖定或解鎖使用者密碼。

#6.4、如何來檢查是否有賬號使用了空口令。

使用如下命令：

1 # awk -f: '
($2 == "") 
' /etc/shadow

鎖定所有空密碼的賬戶

1  # passwd -l accountname

#6.5、確保沒有非root使用者的uid為0。

只有root使用者的uid為0，其具有系統的所有許可權。使用下面的命令進行檢查：

# awk -f: '
($3 == "0") 
' /etc/passwd

應該僅能看到root一行的結果，如果還有其他使用者，請將這些使用者刪除。

#7、禁止root使用者登入。

永遠不要使用root使用者登入，應該使用 sudo 來執行需要root許可權的命令。sudo 避免了root口令的共享，同時提供了一些審計和追蹤的功能支援。

#8、伺服器的物理安全。

我們必須確保伺服器的物理安全，配置 bios 禁止從外部裝置啟動。設定 bios 和 grub boot loader 的密碼。所有的裝置應當安全的存放在idc（internet data center）中，並且安排了適當的機房安檢。

#9、禁用不需要的服務。

禁用所有不必要的服務和守護程序，並且將他們從隨系統啟動中刪除。使用下面的命令來檢查是否有服務隨系統啟動。

# chkconfig --list | grep
'3:on
'

要禁用服務，可以使用下面的命令：

# service servicename stop

# chkconfig servicename off

#9.1、檢查網路監聽的埠。

使用 netstat 命令檢視伺服器中有哪些監聽埠

# netstat -tulpn

如果有不需要的服務，可以使用 chkconfig 進行關閉。如果需要對外遮蔽，可以使用 iptables 。

#10、刪除x windows。

對伺服器來說，x windows完全沒有必要。可以使用包管理工具刪除。

# yum groupremove "x window system"

20個Linux伺服器安全強化建議（二）

20個Linux伺服器安全強化建議（一）

20個Linux伺服器安全強化建議（二）

20個Linux伺服器安全強化建議（三）

20個Linux伺服器安全強化建議（二）

20個Linux伺服器安全強化建議（一）

20個Linux伺服器安全強化建議（二）

20個Linux伺服器安全強化建議（三）

相關推薦