Linux 主機一鍵安全整改策略
點擊上方“IT那活兒”公眾號,關(guān)注后了解更多內(nèi)容���,不管IT什么活兒����,干就完了?�。����。?/strong>
為防止linux主機被惡意攻擊����,和受到攻擊后能更快定位到源頭,需要對linux主機做一些參數(shù)配置����。
比如禁用root的遠程登錄、用戶多次密碼驗證失敗后被鎖���、禁止系統(tǒng)賬號交互式登錄等等����。
下面是linux主機安全整改的一些簡單介紹,最后會通過腳本一鍵整改所有項�����,適用linux主機版本為:Redhat 7和CentOS 7�����。
禁止root用戶遠程登錄�����;
設(shè)置密碼復(fù)雜度(新建賬號和修改密碼時生效)��;
設(shè)置密碼過期時間90天����;
設(shè)置命令行界面超時退出(180秒);
設(shè)置密碼重復(fù)使用次數(shù)(5次)�;
禁止系統(tǒng)賬號交互式登錄;
設(shè)置ssh登錄警告banner����;
禁用不必要的別名;
安裝配置記錄用戶對設(shè)備的操作的pacct工具���;
#!/bin/bash
source /etc/profile
echo "---------禁止root用戶遠程登錄----------"
result=`grep "PermitRootLogin no" /etc/ssh/sshd_config|wc -l` ; if [ $result -eq 0 ];then
sed -i s/#PermitRootLogin yes/PermitRootLogin no/ /etc/ssh/sshd_config
sed -i s/PermitRootLogin yes/PermitRootLogin no/ /etc/ssh/sshd_config
echo "禁止root用戶遠程登錄已修改"
else
echo "禁止root用戶遠程登錄已存在"
fi
echo -e "
"
echo "---------設(shè)置密碼復(fù)雜度限制----------"
result1=`grep "password requisite pam_cracklib.so" /etc/pam.d/system-auth|wc -l` ; if [ $result1 -eq 0 ];then
echo "password requisite pam_cracklib.so try_first_pass retry=3 minlen=8 lcredit=-1 dcredit=-1 ocredit=-1 ucredit=-1" >> /etc/pam.d/system-auth
echo "密碼復(fù)雜度限制設(shè)置完成"
else
echo "密碼復(fù)雜度限制已存在"
fi
echo -e "
"
echo "---------設(shè)置用戶密碼過期時間----------"
result=` cat /etc/login.defs|grep PASS_MAX_DAYS|grep ^[^#]|awk {print $2}` ; if [ $result -gt 90 ];then
sed -i /PASS_MAX_DAYS/ s/99999/90/ /etc/login.defs
echo "用戶密碼過期時間設(shè)置完成"
else
echo "用戶密碼過期時間已設(shè)置為90天"
fi
echo -e "
"
echo "---------設(shè)置命令行界面超時退出----------"
result=` grep TMOUT /etc/profile |wc -l` ; if [ $result -eq 0 ];then
cp -p /etc/profile /etc/profile_bak
echo "export TMOUT=180">> /etc/profile
echo "命令行界面超時退出已設(shè)置"
else
echo "命令行界面超時退出已存在"
fi
echo -e "
"
echo "---------設(shè)置密碼重復(fù)使用次數(shù)----------"
result=` grep remember= /etc/pam.d/system-auth|wc -l` ; if [ $result -eq 0 ];then
sed -i s/password sufficient pam_unix.so/& remember=5/g /etc/pam.d/system-auth
echo "密碼重復(fù)使用次數(shù)已設(shè)置"
else
echo "密碼重復(fù)使用次數(shù)限制已存在"
fi
echo -e "
"
echo "禁止系統(tǒng)賬號交互式登錄"
passwd -l adm
passwd -l daemon
passwd -l bin
passwd -l sys
passwd -l lp
passwd -l uucp
passwd -l nuucp
passwd -l smmsp
echo "禁止系統(tǒng)賬號交互式登錄已設(shè)置"
echo -e "
"
echo "---------ssh登錄前警告banner設(shè)置----------"
file="/etc/ssh_banner"
if [ ! -f "$file" ]; then
touch "$file"
chown bin:bin /etc/ssh_banner
chmod 644 /etc/ssh_banner
echo "Authorized only. All activity will be monitored and reported" >> $file
echo "ssh登錄前警告banner已設(shè)置"
else
echo "ssh登錄前警告banner設(shè)置已存在"
fi
echo -e "
"
echo "---------禁用不必要的別名----------"
result=`cat /etc/aliases|grep ^# | grep root |wc -l` ; if [ $result -le 9 ];then
sed -i /games/ s/^/#/g /etc/aliases
sed -i /ingres/ s/^/#/g /etc/aliases
sed -i /system/ s/^/#/g /etc/aliases
sed -i /toor/ s/^/#/g /etc/aliases
sed -i /uucp/ s/^/#/g /etc/aliases
sed -i /manager/ s/^/#/g /etc/aliases
sed -i /operator/ s/^/#/g /etc/aliases
sed -i /decode/ s/^/#/g /etc/aliases
sed -i /marc/ s/^/#/g /etc/aliases
sed -i /dumper/ s/^/#/g /etc/aliases
echo "禁用不必要的別名已完成"
else
echo "禁用不必要的別名已存在"
fi
echo -e "
"
echo "---------配置pacct工具----------"
file="/var/log/pacct"
if [ ! -f "$file" ]; then
yum install psacct
touch /var/log/pacct
accton /var/log/pacct
echo "配置pacct工具已完成"
else
echo "配置pacct工具已存在"
fi
echo "---------配置記錄su命令使用情況----------"
result=`grep "authpriv.* /var/log/secure" /etc/rsyslog.conf|wc -l` ; if [ $result -eq 0 ];then
echo "authpriv.* /var/log/secure" >> /etc/rsyslog.conf
echo "配置記錄su命令使用情況已完成"
else
echo "記錄su命令使用情況已存在"
fi
注意:在進行安全整改之前先打開telnet���,如果配置出現(xiàn)問題ssh無法使用���,可通過telnet遠程登錄處理。
文章版權(quán)歸作者所有�����,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為�����,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://www.ezyhdfw.cn/yun/129393.html
