等保2.0 测评 linux服务器加固 基本安全配置手册 -.pdf

等保 2.0 测评 linux 服务器加固 基本

安全配置手册

1.删除系统特殊的的用户帐号：

禁止所有默认的被操作系统本身启动的且不需要的帐号，当你第一次装上系统时就

应该做此检查，Linux 提供了各种帐号，你可能不需要，如果你不需要这个帐号，

就移走它，你有的帐号越多，就越容易受到攻击。

#为删除你系统上的用户，用下面的命令：

[root@c1gstudio]# userdel username

2.删除系统特殊的组帐号

[root@c1gstudio]# groupdel groupname

#批量删除方式

for i in adm lp mail news uucp games dip pppusers popusers slipusers ;do

groupdel $i ;done

3.用户密码设置

安装 linux 时默认的密码最小长度是 5 个字节，但这并不够，要把它设为 8 个字

节。修改最短密码长度需要编辑 login.defs 文件

然后修改 Root 密码：

#passwd root

New UNIX password:

Retype new UNIX password:

passwd: all authentication tokens updated successfully.

4.修改自动注销帐号时间

自动注销帐号的登录，在 Linux 系统中 root 账户是具有最高特权的。如果系统管

理员在离开系统之前忘记注销 root 账户，那将会带来很大的安全隐患，应该让系

统会自动注销。通过修改账户中“TMOUT”参数，可以实现此功能。TMOUT 按秒计

5.限制 Shell 命令记录大小

默认情况下，bash shell 会在文件$HOME/.bash_history 中存放多达 500 条命令记

录(根据具体的系统不同，默认记录条数不同)。系统中每个用户的主目录下都有一

个这样的文件。在此笔者强烈建议限制该文件的大小。

您可以编辑/etc/profile 文件，修改其中的选项如下:

#vi /etc/profile

HISTSIZE=30

source /etc/profile

6.注销时删除命令记录

source /etc/skel/.bash_logout

然后: exit

7.用下面的命令加需要的用户组和用户帐号

[root@c1gstudio]# groupadd

例如：增加 website 用户组，groupadd website 然后调用 vigr（vim

etc/group）命令查看已添加的用户组

用下面的命令加需要的用户帐号

[root@c1gstudio]# useradd username –g website //添加用户到 website 组

（作为 webserver 的普通管理员，而非 root 管理员）然后调用 vipw(vim

#vi /etc/pam.d/su

auth sufficient /lib/security/$ISA/pam_rootok.so debug

auth required /lib/security/$ISA/pam_wheel.so group=website

意味着仅仅 root 和 website 组的用户可以 su 作为 root.

9.修改 ssh 服务的 root 登录权限

修改 ssh 服务配置文件，使的 ssh 服务不允许直接使用 root 用户来登录，这样减

少系统被恶意登录攻击的机会。

#vi /etc/ssh/sshd_config

注意：修改端口错误可能会导致你下次连不到服务器，可以先同时开着 22 和 6022

两个端口，然后再关掉 22 端口；

重启 sshd 不会弹掉你当前的连接，可以另外开一个客户端来测试服务;

#vi /etc/ssh/sshd_config#增加修改