今天為大家?guī)砹顺敿?xì)的 Linux 系統(tǒng)安全配置方案，涵蓋賬號管理、密碼策略、訪問控制等核心模塊！本文基于企業(yè)級安全基線要求，深度解析 Centos7.4 系統(tǒng)加固實(shí)操，包含完整的配置命令、檢查方法及安全基線說明。幫助大家打造全方位安全防護(hù)體系！

一、賬號管理

（一）刪除多余賬號

1、安全基線說明

即刪除無用賬號。

2、操作指南

（1）參考配置操作

檢查 /etc/passwd文件屬性設(shè)置是否為 644：ls -l /etc/passwd，

查看是否存在可能無用的賬號：more /etc/passwd，無用賬號類似：uucp nuucp lpd guest printq；

刪除用戶：userdel username

3、檢查辦法

（1）判定條件

與管理員確認(rèn)是否存在無用賬號，若存在則刪除掉。

（二）禁止賬號共享

1、安全基線說明

即禁止共享賬號，按照不同的用戶分配不同的賬號。

2、操作指南

（1）參考配置操作

命令cat /etc/passwd 查看當(dāng)前所有用戶的信息，與管理員確認(rèn)是否有共享賬號情況存在。

（2） 補(bǔ)充操作說明

避免共享賬號存在，應(yīng)按照不同的用戶分配不同的賬號。

3、檢查辦法

（1）判定條件

不應(yīng)存在賬號共享的情況。

（三）刪除無用用戶組

1、安全基線說明

即刪除無用的用戶組。

2、操作指南

（1）參考配置操作

查看用戶組文件權(quán)限是否為644：ls -l /etc/group

more /etc/group ，查看用戶組是否存在如下可能無用組類似：uucp printq。

刪除用戶組的命令：groupdel groupname

3、檢查辦法

（1）判定條件

刪除無用的用戶組。

（四）指定用戶組成員使用su命令

1、安全基線說明

即指定用戶組成員使用su命令。

2、操作指南

（1）參考配置操作

編輯su文件(vi /etc/pam.d/su)，在開頭添加下面內(nèi)容：

auth required pam_wheel.so use_uid

這表明只wheel組的成員可以使用su命令成為root用戶。普通用戶之間無法隨意su，只能用已設(shè)置賬戶su到其他賬戶，其他賬戶不能su到已設(shè)置賬戶。

添加方法為：# usermod –G wheel username

3、檢查辦法

（1）判定條件

#cat /etc/pam.d/su，查看是否配置以上的內(nèi)容。

（五）禁止除root之外UID為0的用戶

1、安全基線說明

即禁止除root之外UID為0的用戶。

2、操作指南

（1）參考配置操作

執(zhí)行：awk -F: '($3 == 0) { print $1 }' /etc/passwd

返回值應(yīng)只有root。

若存在其他值則使用userdel username命令刪除該用戶。

（2） 補(bǔ)充操作說明

UID為0的任何用戶都擁有系統(tǒng)的最高特權(quán)，保證只有root用戶的UID為0。

3、檢查辦法

（1）判定條件

除了root用戶外，不存在UID為0 的用戶。

二、密碼策略

（一）密碼長度及復(fù)雜度策略

1、安全基線說明

即密碼必須符合密碼長度及復(fù)雜度的要求，防止暴利破解。

2、操作指南

（1）參考配置操作

a、修改/etc/login.defs文件

PASS_MIN_LEN 10 #密碼最小長度

b、修改/etc/pam.d/system-auth文件，找到 password requisite pam_cracklib.so這么一行替換成如下（數(shù)字可以根據(jù)實(shí)際填）：

password requisite pam_cracklib.so retry=5 difok=3 minlen=10 ucredit=-1 lcredit=-3 dcredit=-3 dictpath=/usr/share/cracklib/pw_dict

參數(shù)含義：

嘗試次數(shù)：5 新舊密碼最少不同字符：3 最小密碼長度：10 最少大寫字母：1 最少小寫字母：3 最少數(shù)字：3 密碼字典：/usr/share/cracklib/pw_dict。

3、檢查辦法

（1）判定條件

執(zhí)行：more /etc/login.defs

檢查

PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_WARN_AGE參數(shù)，

其中PASS_MIN_LEN 為${key} #設(shè)定最小用戶密碼長度為${key} 位，其中修改其參數(shù)使其符合要求。

執(zhí)行：awk -F: '($2 == "") { print $1 }' /etc/shadow，

檢查是否存在空口令賬號，將口令配置為強(qiáng)口令。

創(chuàng)建一個普通賬號，為用戶配置與用戶名相同的口令、只包含字符或數(shù)字的簡單口令以及長度短于${key} 的口令，查看系統(tǒng)是否對口令強(qiáng)度要求進(jìn)行提示；輸入帶有特殊符號的復(fù)雜口令、普通復(fù)雜口令，查看系統(tǒng)是否可以成功設(shè)置。

（二）配置密碼的生存期

1、安全基線說明

即配置密碼的生產(chǎn)期，保證密碼的更新，防止密碼被泄露。

2、操作指南

（1）參考配置操作

編輯/etc/login.defs 文件中指定配置項(xiàng)決定，其中：

PASS_MAX_DAYS 配置項(xiàng)決定密碼最長使用期限；

PASS_MIN_DAYS 配置項(xiàng)決定密碼最短使用期限；

PASS_WARN_AGE 配置項(xiàng)決定密碼到期提醒時間。

3、檢查辦法

（1）判定條件

cat /etc/login.defs 查看對應(yīng)屬性值；

三、訪問控制

（一）限制非授權(quán)終端登錄

1、安全基線說明

即設(shè)定終端登錄安全策略及措施，非授權(quán)終端無法登錄管理。

2、操作指南

（1）參考配置操作

修改/etc/hosts.deny、/etc/hosts.allow中對終端登錄限制的相關(guān)配置參數(shù)。

3、檢查辦法

（1）判定條件

查看/etc/hosts.deny、/etc/hosts.allow配置文件，是否設(shè)定了終端登錄限制的相關(guān)配置參數(shù)。

（二）遠(yuǎn)程管理使用SSH加密協(xié)議

1、安全基線說明

即系統(tǒng)應(yīng)配置使用ssh 等加密協(xié)議進(jìn)行遠(yuǎn)程登錄維護(hù)，并安全配置sshd 的設(shè)置。不使用telnet 進(jìn)行遠(yuǎn)程登錄維護(hù)。

2、操作指南

（1）參考配置操作

查看SSH 服務(wù)狀態(tài)：# ps –elf|grep ssh

手動編輯/etc/ssh/sshd_config，配置相關(guān)選項(xiàng)（可根據(jù)實(shí)際情況決定配置那些選項(xiàng)）。

SSHD 相關(guān)安全設(shè)置選項(xiàng)解釋如下：

Protocol 2 #使用ssh2 版本

X11Forwarding yes #允許窗口圖形傳

輸使用ssh 加密

IgnoreRhosts yes#完全禁止SSHD 使用.rhosts 文件

RhostsAuthentication no #不設(shè)置使用基于rhosts 的安全驗(yàn)證

RhostsRSAAuthentication no #不設(shè)置使用RSA 算法的基于rhosts 的安全驗(yàn)證

HostbasedAuthentication no #不允許基于主機(jī)白名單方式認(rèn)證

PermitRootLogin no #不允許root 登錄

PermitEmptyPasswords no #不允許空密碼

Banner /etc/motd #設(shè)置ssh 登錄時顯示的banner

3、檢查辦法

（1）判定條件

查看SSH 服務(wù)狀態(tài)：# ps -elf|grep ssh

查看telnet 服務(wù)狀態(tài)：# ps -elf|grep telnet

應(yīng)禁止telnet，使用ssh遠(yuǎn)程登錄。

（三）限制root用戶SSH遠(yuǎn)程登錄

1、安全基線說明

即限制root用戶遠(yuǎn)程登錄，只允許本地登錄。

2、操作指南

（1）參考配置操作

限制root從遠(yuǎn)程Telnet登錄 ，

在/etc/securetty文件中配置CONSOLE=/dev/tty01

限制root 從遠(yuǎn)程ssh 登錄，

修改/etc/ssh/sshd_config 文件，

將PermitRootLogin yes 改為PermitRootLogin no，重啟sshd 服務(wù)。

3、檢查辦法

（1）判定條件

#service telnet status，判斷是否安裝Telnet；

#cat /etc/ssh/sshd_config，檢測PermitRootLogin的配置。

四、資源控制

（一）登錄超時時間配置

1、安全基線說明

即配置登錄超時使登錄后超過一段時間無操作后自動退出登錄。

2、操作指南

（1）參考配置操作

通過修改帳戶中“TMOUT”參數(shù)，可以實(shí)現(xiàn)此功能。TMOUT 按秒計(jì)算。編輯profile 文件(vi /etc/profile），在文件的后面加入下面這行：export TMOUT=(可根據(jù)情況設(shè)定）

這里的時間以秒未單位。

重新登錄使配置生效。

3、檢查辦法

（1）判定條件

#cat /etc/profile，查看是否配置超時時間。

（二）遠(yuǎn)程連接的安全性配置（可選）

1、安全基線說明

.rhosts，.netrc，hosts.equiv等文件都具有潛在的危險，如無應(yīng)用，應(yīng)刪除該文件。

2、操作指南

（1）參考配置操作

執(zhí)行：find / -name .netrc，檢查系統(tǒng)中是否有.netrc 文件，

執(zhí)行：find / -name .rhosts ，檢查系統(tǒng)中是否有.rhosts 文件

.rhosts，.netrc，hosts.equiv等文件都具有潛在的危險，如

無應(yīng)用，刪除以上文件。

3、檢查辦法

（1）判定條件

如無應(yīng)用，刪除.rhosts，.netrc，hosts.equiv文件。

（三）root用戶環(huán)境變量的安全性

1、安全基線說明

確保root用戶的系統(tǒng)路徑中不包含父目錄，在非必要的情況下，不應(yīng)包含組目錄權(quán)限為777的目錄。

2、操作指南

（1）參考配置操作

執(zhí)行：

echo $PATH | egrep '(^|:)(\\.|:|$)'

檢查是否包含父目錄，

執(zhí)行：

find `echo $PATH | tr ':' ' '` -type d \\( -perm -002 -o -perm -020 \\) -ls

檢查是否包含組目錄權(quán)限為777的目錄。

確保root用戶的系統(tǒng)路徑中不包含父目錄，在非必要的情況下，不應(yīng)包含組目錄權(quán)限為777的目錄。

3、檢查辦法

（1）判定條件

在非必要的情況下，不應(yīng)包含組權(quán)限為777的目錄。

（四）禁止ctrl+alt+delete功能鍵

1、安全基線說明

Linux默認(rèn)情況下開啟Ctrl+Alt+Del重啟或關(guān)機(jī)的功能，為了避免誤操作，禁止Ctrl+Alt+Del功能鍵。

2、操作指南

（1）參考配置操作

#查看/etc/inittab確認(rèn)Ctrl+Alt+Del相關(guān)配置文件

cat /etc/inittab

# Ctrl-Alt-Delete is handled by /usr/lib/systemd/system/ctrl-alt-del.target #相關(guān)配置文件存放位置

#查看Ctrl+Alt+Del配置文件的屬性信息

ls -ld /usr/lib/systemd/system/ctrl-alt-del.target

#刪除軟鏈接文件

rm -f /usr/lib/systemd/system/ctrl-alt-del.target

或者

mv /usr/lib/systemd/system/ctrl-alt-del.target /tmp

#重新加載初始化守護(hù)進(jìn)程配置文件(Reload init daemon configuration)

init q

3、檢查辦法

（1）判定條件

按下Ctrl+Alt+Del不能重啟或關(guān)機(jī)。

希望今天的分享能幫到大家，下期藍(lán)隊(duì)云將深入講解日志審計(jì)、服務(wù)優(yōu)化、內(nèi)核加固等進(jìn)階內(nèi)容！藍(lán)隊(duì)云官網(wǎng)上擁有完善的技術(shù)支持庫可供參考，大家可自行查閱，更多技術(shù)問題，也可以直接咨詢。同時，藍(lán)隊(duì)云整理了運(yùn)維必備的工具包免費(fèi)分享給大家使用，需要的朋友可以直接咨詢。更多技術(shù)知識，藍(lán)隊(duì)云期待與你一起探索，助力你在 Linux 運(yùn)維之路上穩(wěn)步前行。