Windows system >> Windowsの知識 >  >> Linuxシステムチュートリアル >> Linuxチュートリアル >> Linuxシステムのセキュリティ強化チュートリアル  

1.システム内の冗長な自己構築アカウントをロックします。

確認方法:

コマンドを実行します。

#cat /etc /passwd

#cat /etc /shadow

アカウント、パスワードファイルを表示し、不要なアカウントをシステム管理者に確認します。 bin、sys、adm、uucp、lp、nuucp、hpdb、www、daemonなどの予約済みシステム疑似ア

Linuxシステムのセキュリティ強化チュートリアル  

1.システム内の冗長な自己構築アカウントをロックします。

確認方法:

コマンドを実行します。

#cat /etc /passwd

#cat /etc /shadow

アカウント、パスワードファイルを表示し、不要なアカウントをシステム管理者に確認します。 bin、sys、adm、uucp、lp、nuucp、hpdb、www、daemonなどの予約済みシステム疑似ア

  
Grep PASSビューのパスワードポリシー設定

バックアップ方法:

cp -p /etc/login.defs /etc/login.defs_bak

強化方法:

#vi /etc/login.defs設定ファイルの変更

PASS_MAX_DAYS 90#最長日数のユーザーパスワードの作成

PASS_MIN_DAYS 0#新しいユーザーパスワードの最小使用日数

PASS_WARN_AGE 7#新しいユーザーのパスワードの有効期限早期アラームの日数

PASS_MIN_LEN 8#パスワードの最小の長さ9

注意:ユーザーパスワードを最大限に区切る必要がある場合は、次のコマンドを使用してください。

passwd– x 99999 username;またはpasswd– x -1 username

リスク:目に見えるリスクはありません

3.
root以外のスーパーユーザーを無効にする

確認方法:

#cat /etc /passwdパスワードファイルを表示するパスワードファイルの形式は以下のとおりです。

login_name:password :user_ID:group_ID:コメント:home_dir:コマンド

login_name:ユーザー名

パスワード:暗号化されたユーザーパスワード

user_ID:ユーザーID、(1〜6000)ユーザーID = 0、ユーザーはスーパーユーザーの特権を持っています。 ID = 0が複数ある場合は、ここで確認してください。

group_ID:ユーザーグループID

コメント:ユーザーの氏名またはその他のコメント情報

home_dir:ユーザーのルートディレクトリ

コマンド:ユーザーログイン後の実行コマンド

バックアップ方法:

#cp -p /etc /passwd /etc /passwd_bak

強化方法:

コマンドpasswd -l<を使用します。ユーザー名>は不要なスーパーアカウントをロックします。

passwd -u< username>コマンドを使用して、回復する必要があるスーパーアカウントのロックを解除します。

リスク:このスーパーユーザーの使用は管理者に確認する必要があります。

4. shadowパスワードパスワードアカウントを確認します。

確認方法:

#awk -F:‘($ 2 =="){print $ 1}’ /etc /shadow

バックアップ方法:cp -p /etc /shadow /etc /shadow_bak

強化方法:空のパスワードアカウントをロックする(passwd– l username)、または要求パスワードを追加します。

注意:新しいアカウントが設定されていない場合、アカウントはデフォルトでロックされています。


リスク:空のパスワードアカウントがアプリケーションに関連付けられていることを確認するために、パスワードを追加するとアプリケーションが接続できなくなります。

5.適切な初期ファイル許可を設定します。

チェック方法:

#cat /etc /profile umaskの値を表示します。

バックアップ方法:

#cp -p /etc /profile /etc /profile_bak

強化方法:

#vi /etc /profile

umask 022

リスク:新しいファイルを変更するためのデフォルトの許可は(644)ですサーバーがWEBアプリケーションの場合、これは慎重に変更されます。

6.マシンのIPアドレスを管理できるようにアクセス制御ポリシー制限を設定します。

確認方法:

#cat /etc /ssh /sshd_config AllowUsersの有無にかかわらずステートメントを確認します。バックアップ方法:

#cp -p /etc /ssh /sshd_config /etc /ssh /sshd_config_bak

強化方法:

#vi /etc /Ssh /sshd_config、次の文を追加します。

AllowUsers *@10.138.*.*この文章の意味:10.138.0.0/16ネットワークセグメント上のすべてのユーザーのみがssh経由でのアクセスを許可されています。 Service

#service sshd restart

危険:管理者で管理できるIPセグメントを確認する必要があります。

7. rootユーザーのリモートログインを無効にします。

確認方法:

#cat /etc /ssh /sshd_config PermitRootLoginがnoであるかどうかを確認します。

バックアップ方法:

#cp -p /etc /ssh /sshd_config /etc /ssh /Sshd_config_bak

強化方法:

#vi /etc /ssh /sshd_config

PermitRootLogin no

保存後にsshサービスを再起動してください。

サービスSshd restart


危険:rootユーザーは直接ログインできません。通常のアカウントでログインする必要がありますsu

8.対象ホスト

確認方法:

#cat /etc/hosts.equivホストを表示

#cat /$HOME/.rhostsホストを表示

バックアップ方法:

#cp -p /etc/hosts.equiv /etc/hosts.equiv_bak

#cp -p /$HOME/.rhosts /$HOME/.rhosts_bak

強化方法:

#vi /etc/hosts.equiv不要なホストを削除する

#vi /$HOME/.rhosts不要なホストを削除する

危険:中マルチマシンの代替環境では、他のホストのIPを信頼する必要があります。

9.ログインバナー情報をブロックします。

確認方法:

#cat /etc /ssh /sshd_configファイルにBannerフィールドがあるか、バナーフィールドがNONEであるか確認します。

#cat /etc /motdファイルの内容を確認すると、その内容がログインユーザーにバナー情報として表示されます。

バックアップ方法:

#cp -p /etc /ssh /sshd_config /etc /ssh /sshd_config_bak

#cp -p /etc /motd /etc /motd_bak < Br>

強化方法:

#vi /etc /ssh /sshd_config

bannerなし

#vi /etc /motd

すべて削除追加するコンテンツへのコンテンツまたは更新

リスク:目に見えるリスクはありません

10.誤ってCtrl + Alt + Delキーを押してシステムを再起動しないようにします。

確認方法:

#cat /etc /inittab

Copyright © Windowsの知識 All Rights Reserved