网络安全中职组linux基本加固A模块

### 知识点一：Linux密码策略与加固 #### 密码策略配置文件 - **配置文件路径**：`/etc/login.defs` - `PASS_MAX_DAYS`：定义密码的有效期限，即密码最长可以使用多少天。 - `PASS_MIN_DAYS`：设定密码更改的最短间隔，即在新密码设置后的多少天内不允许再次更改密码。 - `PASS_MIN_LEN`：设置密码的最小长度。 - `PASS_WARN_AGE`：设置密码过期前的警告天数。 - **密码复杂度配置**：`/etc/pam.d/password-auth` - `ocredit`、`dcredit`、`ucredit`、`lcredit`：分别代表其他字符、数字、大写字母、小写字母的最小数量要求。 #### 密码加固实践 - **实现步骤**： 1. 调整`/etc/login.defs`中的参数以满足安全需求。 2. 编辑`/etc/pam.d/password-auth`文件来设置密码复杂度要求。 3. 使用命令行工具检查并验证配置的有效性。 ### 知识点二：Linux服务加固 #### MySQL服务加固 - **以非管理员账户运行MySQL**：通过修改配置文件`/etc/my.cnf`来指定MySQL服务使用普通用户身份运行。 - **删除不必要的数据库**：使用SQL命令`drop database test;`删除默认的`test`数据库。 - **更改默认管理员用户名**：使用SQL命令`update user set user='superroot' where user='root';`将管理员账号更改为`superroot`。 - **加密用户密码**：利用MySQL内置的MD5函数加密用户密码，例如`update user set password=md5('P@ssw0rd1!') where user='user1';` #### SSH服务加固 - **修改SSH端口号**：编辑`/etc/ssh/sshd_config`文件中的`Port`选项，将其设置为一个非常规端口号，如2222。 - **禁止root远程登录**：同样在`sshd_config`文件中设置`PermitRootLogin no`。 - **配置SSH登录记录等级**：将`LogLevel`设置为`INFO`级别，以便于追踪异常登录行为。 - **调整登录超时时间和最大会话数**：通过设置`LoginGraceTime`和`MaxSessions`参数控制登录超时时间和并发会话的最大数量。 - **SSH自动化管理**：利用`/etc/crontab`实现SSH服务的定时开启和关闭，例如周一至周五每天7:50启动SSH服务，22:50关闭服务，周六7:00重启服务。 #### FTP服务加固 - **禁用匿名登录功能**：在`/etc/vsftpd/vsftpd.conf`文件中设置`anonymous_enable=NO`。 - **激活FTP日志记录**：设置`xferlog_enable=YES`启用FTP传输日志记录。 - **设置空闲会话超时时间**：通过`idle_session_timeout`参数限制长时间未操作的会话自动断开的时间。 - **限制最大传输速率**：分别针对本地用户和匿名用户的最大传输速率进行限制。 - **限制单个IP地址的连接数**：通过`max_per_ip`参数控制每个IP地址的最大连接数。 - **限制客户端连接端口范围**：在`/etc/vsftpd/vsftpd.conf`文件末尾添加`pasv_min_port`和`pasv_max_port`来指定被动模式下的端口范围。 - **限制用户访问范围**：设置`chroot_local_user=YES`将本地用户的活动范围限制在其家目录内。 #### HTTP服务加固 - **更改HTTP服务默认端口**：编辑`/etc/httpd/conf/httpd.conf`文件中的`Listen`指令。 - **禁止目录浏览功能**：修改`<Directory>`标签内的`Options`参数，移除`Indexes`以禁用目录索引功能。 - **隐藏Apache版本信息**：在配置文件末尾添加`ServerTokens Prod`和`ServerSignature Off`来隐藏Apache版本信息。 #### DNS服务加固 - **隐藏BIND版本号**：在`/etc/named.conf`文件中添加`version "[cuisir]";`来隐藏BIND的真实版本号。 ### 知识点三：防火墙规则与后门端口检测 - **使用Nmap工具进行扫描**：通过Nmap工具进行非侵入式的端口扫描（不使用`-sS`选项），以避免触发潜在的安全机制。 - **检测并封锁后门端口**：利用`iptables`命令来添加规则，阻止特定端口的入站流量，例如： - 针对TCP端口：`iptables -A INPUT -p tcp --dport <端口号> -j DROP` - 针对UDP端口：`iptables -A INPUT -p udp --dport <端口号> -j DROP` 以上就是从给定文件中提取的关键知识点及其详细说明，涵盖了Linux系统中的密码策略、服务加固以及防火墙规则等方面的内容。