Linux系统安全加固配置规范

Linux系统

安全加固配置规范

目录

1、目的 (4)

2、适用范围 (4)

3、具体设置 (4)

1、目的

本方案明确Linux系统安全配置基本要求；

通过实施本配置方案，建立Linux系统安全基线。

2、适用范围

本方案适用于Cent OS 系统。

3、具体设置

3.1物理安全

3.1.1设置服务器BIOS密码且修改引导次序，禁止从软驱、光驱、USB

方式启动系统。

3.2系统安装

3.2.1系统安装镜像应来自官方网站，安装系统前应对安装镜像进行完

整性校验，软件应按需安装；

3.2.2系统安装时应设置GRUB引导密码；

3.2.3系统安装毕后使用官方源进行更新，运行#yum update待更新软

件名，应对已知高危漏洞进行修补。漏洞信息参考CVE漏洞库

https://www.sodocs.net/doc/9011495431.html,或Bugtraq 漏洞库https://www.sodocs.net/doc/9011495431.html,；

3.2.4系统更新完毕后，运行#chkconfig --level 35 yum-update off

关闭系统自动更新服务。

3.2.5运行#rpm –qa > /var/5173/rpmlist，记录系统软件安装列表

信息。

3.3账号口令

3.3.1按照用户分配账号，避免不同用户间共享账号，避免用户账号和

设备间通信使用的账号共享；根据系统要求及业务需求，建立多用

户组，将用户账号分配到相应的用户组；

3.3.2编辑/etc/pam.d/system-auth，禁止空口令用户登陆，将以下字

段

auth sufficient pam_unix.so nullok try_first_pass

password sufficient pam_unix.so md5 shadow nullok

try_first_pass use_authtok

改为

auth sufficient pam_unix.so try_first_pass

password sufficient pam_unix.so md5 shadow

try_first_pass use_authtok

3.3.3编辑/etc/login.defs，修改口令长度、口令生存周期、口令过

期告警策略，修改字段如下：

PASS_MAX_DAYS 90

PASS_MIN_DAYS 0

PASS_MIN_LEN 8

PASS_WARN_AGE 10

注：策略更改后对新建用户有效，口令过期后无法登陆系统，可以

运行#chage -M 90 –W 10 username单独修改某一账号口令有效

期。运行#awk -F : '{print $1,$5,$6}' /etc/shadow进行确认。

3.3.4编辑/etc/pam.d/su，去掉#auth required pam_wheel.so

use_uid注释，只允许wheel用户组执行su获得root权限。

注：默认只有wheel组只有root用户，编辑/etc/group将允许执

行su的用户添加到wheel组，多个用户用逗号隔开。

3.3.5编辑/etc/pam.d/sshd, /etc/pam.d/login 在%PAM-1.0下行添

加auth required pam_tally2.so deny=3

unlock_time=300 even_deny_root root_unlock_time=300 设置

连续3次密码错误锁定帐号。

3.3.6

3.4系统管理

3.4.1编辑/etc/ssh/sshd_config，找到并修改ClientAliveInterval

300 ClientAliveCountMax 0，设置登陆超时时间；

3.4.2禁止telnet方式进行系统管理，使用SSH进行系统远程管理，

禁止使用SSH V1，运行#cat /etc/ssh/sshd_config，确保系统仅

开启SSH V2；

注：该项CentOS6.4已为默认项。

3.4.3编辑/etc/ssh/sshd_config，添加PermitRootLogin no，禁止

root用户SSH登陆；

3.4.4编辑/etc/profile，限制Bash记录历史命令数，修改为

HISTFILESIZE=30

HISTSIZE=30

创建命令记录文件#touch /var/log/audit/scriptrecord.log，编

辑/etc/profile，添加script -a

/var/log/audit/scriptrecord.log用于记录所有root用户组运

行的命令。

3.5访问控制

3.5.1修改敏感文件属性，运行

#chattr +i /etc/passwd

#chattr +i /etc/shadow

#chattr +i /etc/group

#chattr +i /etc/gshadow

#chattr +i /etc/inetd.conf

#chattr +i /boot/grub/grub.conf

注：执行该配置后，在root运行chattr -i /etc/passwd等命令

解除后，才能进行操作。

3.5.2设置敏感文件访问权限，运行

#chmod 600 /etc/inetd.conf

#chmod 600 /grub/grub.conf

#chmod -R 700 /etc/rc.d/init.d/*

#chmod 644 /var/log/wtmp

#chmod 644 /var/run/utmp

3.5.3编辑/etc/hosts.deny添加sshd:ALL，编辑/etc/hosts.allow

添加sshd:IP/MASK，配置tcp_wrappers，限制允许远程登陆系统

的IP地址；

3.6网络安全

3.6.1运行#chkconfig --level 235 服务名 off关闭系统中不必要的

服务；

注：策略更改后对重启服务生效，可运行#ps –ef | grep 服务名

查看进行PID，

运行#kill -9 PID号立即停止该服务进程。

根据下面列表设置

3.6.2内核参数调整缓解DoS攻击，编辑/etc/sysctl.conf文件，添

加

net.ipv4.tcp_fin_timeout = 30

net.ipv4.tcp_keepalive_time = 1200

net.ipv4.tcp_syncookies = 1

net.ipv4.tcp_tw_reuse = 1

net.ipv4.tcp_tw_recycle = 1

net.ipv4.ip_local_port_range = 1024 65000

net.ipv4.tcp_max_syn_backlog = 8192

net.ipv4.tcp_max_tw_buckets = 5000

net.ipv4.tcp_synack_retries = 2

net.ipv4.tcp_syn_retries = 2

然后运行#sysctl –p使配置生效；

3.6.3编辑/etc/sysctl.conf文件，禁止IP转发功能，

net.ipv4.ip_forward = 0，默认已禁止；

3.7日志审计

3.7.1运行#chkconfig --level 2345 auditd on，确保auditd开机

自动运行；

3.7.2编辑/etc/logrotate.conf修改rotate参数为12周，编辑/etc/

logrotate.d /*文件，按需调整rotate参数；

3.7.3配置NTP Client，定期同步系统时钟；

3.7.4将系统Syslog，/var/log/audit，/var/log/wtmp等日志文件定

期传输到日志服务器备份。

linu系统安全加固规范

Linux主机操作系统加固规范 目录 第1章概述 (2) 1、1目得..................................... 错误!未定义书签。 1、2适用范围................................. 错误!未定义书签。 1、3适用版本................................. 错误!未定义书签。 1、4实施..................................... 错误!未定义书签。 1、5例外条款................................. 错误!未定义书签。 第2章账号管理、认证授权 (2) 2、1账号 (2) 2、1、1用户口令设置 (2) 2、1、2.......................................................... root用户远程登录限制 3 2、1、3检查就是否存在除root之外UID为0得用户 (3) 2、1、4...................................................... root用户环境变量得安全性 3 2、2认证..................................... 错误!未定义书签。 2、2、1远程连接得安全性配置 (4) 2、2、2用户得umask安全配置 (4) 2、2、3重要目录与文件得权限设置 (5) 2、2、4查找未授权得SUID/SGID文件 (5) 2、2、5检查任何人都有写权限得目录 (6) 2、2、6查找任何人都有写权限得文件 (6) 2、2、7检查没有属主得文件 (7) 2、2、8检查异常隐含文件 (8) 第3章日志审计 (9) 3、1日志 (9) 3、1、1............................................................ syslog登录事件记录 9 3、2审计 (9) 3、2、1........................................................ Syslog、conf得配置审核 9 第4章系统文件 (11) 4、1系统状态 (11) 4、1、1系统core dump状态 (11)

linux系统安全配置要求

linux系统安全配置要求1.帐户安全配置要求 1.1.创建/etc/shadow口令文件 配置项名称设置影子口令模式 检查方法执行： #more /etc/shadow 查看是否存在该文件 操作步骤1、执行备份： #cp –p /etc/passwd /etc/passwd_bak 2、切换到影子口令模式： #pwconv 回退操作执行： #pwunconv #cp /etc/passwd_bak /etc/passwd 风险说明系统默认使用标准口令模式，切换不成功可能导致整个用户管理失效1.2.建立多帐户组，将用户账号分配到相应的帐户组 配置项名称建立多帐户组，将用户账号分配到相应的帐户组

检查方法1、执行： #more /etc/group #more /etc/shadow 查看每个组中的用户或每个用户属于那个组2、确认需要修改用户组的用户 操作步骤1、执行备份： #cp –p /etc/group /etc/group_bak 2、修改用户所属组： # usermod –g group username 回退操作 执行： #cp /etc/group_bak /etc/group 风险说明修改用户所属组可能导致某些应用无法正常运行1.3.删除或锁定可能无用的帐户 配置项名称删除或锁定可能无用的帐户 检查方法1、执行： #more /etc/passwd 查看是否存在以下可能无用的帐户： hpsmh、named、uucp、nuucp、adm、daemon、bin、lp 2、与管理员确认需要锁定的帐户 操作步骤 1、执行备份： #cp –p /etc/passwd /etc/passwd_bak

Linux 系统主机安全加固

Linux主机安全加固 V1.0 hk有限公司 二零一五年二月

一、修改密码策略 1、cp /etc/login.defs /etc/login.defs.bak 2、vi /etc/login.defs PASS_MAX_DAYS 90 （用户的密码不过期最多的天数） PASS_MIN_DAYS 0 （密码修改之间最小的天数） PASS_MIN_LEN 8 （密码最小长度） PASS_WARN_AGE 7 (口令失效前多少天开始通知用户更改密码) 按要求修改这几个密码选项，修改完之后保存（：wq!）退出即可。 二、查看系统是否已设定了正确UMASK值（022） 1、用命令umask查看umask值是否是 022， 如果不是用下面命令进行修改： cp/etc/profile/etc/profile.bak vi/etc/profile 找到umask 022，修改这个数值即可。 三、锁定系统中不必要的系统用户和组 1、cp /etc/passwd /etc/passwd.bak cp /etc/shadow /etc/shadow.bak 锁定下列用户 2、for i in admlp sync news uucp games ftp rpcrpcusernfsnobodymailnullgdm do usermod -L $i done 3、检查是否锁定成功 more /etc/shadow 如：lp:!*:15980:0:99999:7:::lp帐户后面有！号为已锁定。 4、禁用无关的组： 备份： cp /etc/group /etc/group.bak

linux系统安全加固规范

Linux主机操作系统加固规范

目录 第1章概述 (3) 1.1 目的............................................................................................................ 错误！未定义书签。 1.2 适用范围..................................................................................................... 错误！未定义书签。 1.3 适用版本..................................................................................................... 错误！未定义书签。 1.4 实施............................................................................................................ 错误！未定义书签。 1.5 例外条款..................................................................................................... 错误！未定义书签。第2章账号管理、认证授权.. (4) 2.1 账号 (4) 2.1.1 用户口令设置 (4) 2.1.2 root用户远程登录限制 (4) 2.1.3 检查是否存在除root之外UID为0的用户 (5) 2.1.4 root用户环境变量的安全性 (5) 2.2 认证............................................................................................................ 错误！未定义书签。 2.2.1 远程连接的安全性配置 (6) 2.2.2 用户的umask安全配置 (6) 2.2.3 重要目录和文件的权限设置 (6) 2.2.4 查找未授权的SUID/SGID文件 (7) 2.2.5 检查任何人都有写权限的目录 (8) 2.2.6 查找任何人都有写权限的文件 (8) 2.2.7 检查没有属主的文件 (9) 2.2.8 检查异常隐含文件 (9) 第3章日志审计 (11) 3.1 日志 (11) 3.1.1 syslog登录事件记录 (11) 3.2 审计 (11) 3.2.1 Syslog.conf的配置审核 (11) 第4章系统文件 (13) 4.1 系统状态 (13) 4.1.1 系统core dump状态 (13)

网络信息安全系统加固方案设计

XXXX业务网网络信息安全加固项目案例介绍 一、概述 随着信息化技术的深入和互联网的迅速发展，整个世界正在迅速地融为一体，IT系统已经成为XXX整合、共享内部资源的核心平台，同时，随着XXX经营理念的不断深化，利用各种各样的业务平台来为XXX提供更多的增值业务服务的情况越来越多，因此IT系统及各种各样的业务平台在XXX系统内的地位越来越重要，更为XXX提供的新业务利润增长做出了不可磨灭的贡献。 伴随着网络的发展，也产生了各种各样的安全风险和威胁，网络中蠕虫、病毒及垃圾邮件肆意泛滥，木马无孔不入，DDOS攻击越来越常见、WEB应用安全事件层出不穷、，黑客攻击行为几乎每时每刻都在发生，而伴随着上级主管部门对于信息安全的重视及审查工作愈加深化，所有这些风险防范及安全审查工作极大的困扰着XXX运维人员，能否及时发现网络黑客的入侵，有效地检测出网络中的异常流量，并同时在“事前”、“事中”及“事后”都能主动协助XXX完成自身信息安全体系的建设以及满足上级部门审查规范，已成为XXX运维人员所面临的一个重要问题。 本方案针对XXXX公司业务平台的安全现状进行分析，并依据我公司安全体系建设的总体思路来指导业务平台信息安全体系建设解决方案的制作，从安全技术体系建设的角度给出详细的产品及服务解决方案。

二、网络现状及风险分析 2.1 网络现状 业务平台拓扑图 XXXX公司业务平台网络共有包括XXX、XXX、XXX平台等四十余个业务系统，（因涉及客户信息，整体网络架构详述略）业务平台内部根据业务种类的不同，分别部署有数据库、报表、日志等相应业务系统服务器。 2.2 风险及威胁分析 根据上述网络架构进行分析，我们认为该业务平台存在如下安全隐患： 1.随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯XX的已经 无法满足信息安全防护的需要，部署了×XX的安全保障体系仍需要进一步完善， 防火墙系统的不足主要有以下几个方面（略） 2.当前网络不具备针对X攻击专项的检测及防护能力。（略） 3.对正常网络访问行为导致的信息泄密事件、网络资源滥用行为等方面难以实现针 对内容、行为的监控管理及安全事件的追查取证。 4.当前XX业务平台仍缺乏针对网络内容及已经授权的正常内部网络访问行为的有 效监控技术手段，因此对正常网络访问行为导致的信息泄密事件、网络资源滥用

Solaris10系统安全加固标准

Solaris系统安全文档（for solaris 10） 1．禁用不需要的用户 备份：备份/etc/passwd cp /etc/passwd /etc/passwd.080903 cp /etc/shadow /etc/shadow.080903 修改： 编辑/etc/shadow，将需要禁止帐户的**用NP代替 Example: noaccess:NP:60002:60002:No Access User:/:/sbin/noshell 恢复： 编辑/etc/shadow，将需要恢复帐户的NP用**代替 Example: noaccess:**:60002:60002:No Access User:/:/sbin/noshell 或使用备份还原 cp /etc/passwd.080903 /etc/passwd cp /etc/shadow.080903 /etc/shadow 恢复：用原始备份还原 cp /etc/group.bak.2008 /etc/group 2．设置用户密码安全策略（根据具体要求修改） 修改全局密码策略 备份：备份/etc/default/passwd cp /etc/default/passwd /etc/default/passwd.080903 #MINDIFF=3 #最小的差异数，新密码和旧密码的差异数。 #MINALPHA=2 #最少字母要多少 #MINNONALPHA=1 #最少的非字母，包括了数字和特殊字符。 #MINUPPER=0 #最少大写 #MINLOWER=0 #最少小写 #MAXREPEATS=0 #最大的重复数目 #MINSPECIAL=0 #最小的特殊字符 #MINDIGIT=0 #最少的数字 #WHITESPACE=YES #能使用空格吗？ 修改：（以下只针对除root用户外的其他用户） 编辑/etc/default/passwd,设置： MINWEEKS= 最短改变时间 MAXWEEKS=8 密码最长有效时间 WARNWEEKS=5 密码失效前几天通知用户 PASSLENGTH=8 最短密码长度

网络安全主机安全加固

网络安全主机安全加固 一、安全加固概述 网络与应用系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务，将在客户信息系统的网络层、主机层和应用层等层次建立符合客户安全需求的安全状态，并以此作为保证客户信息系统安全的起点。 网络与应用系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作： ●? 正确的安装； ●? 安装最新和全部OS和应用软件的安全补丁； ●? 操作系统和应用软件的安全配置； ●? 系统安全风险防范； ●? 提供系统使用和维护建议； ●? 系统功能测试； ●? 系统安全风险测试； ●? 系统完整性备份； ●? 必要时重建系统等。 上述工作的结果决定了网络与应用系统加固和优化的流程、实施的内容、步骤和复杂程度。具体说，则可以归纳为： （1）加固目标也就是确定系统在做过加固和优化后，达到的安全级别，通常不同环境下的系统对安全级别的要求不同，由此采用的加固方案也不同。 （2）明确系统运行状况的内容包括: ●? 系统的具体用途,即明确系统在工作环境下所必需开放的端口和服务等。 ●? 系统上运行的应用系统及其正常所必需的服务。

●? 我们是从网络扫描及人工评估里来收集系统的运行状况的。 （3）明确加固风险：网络与应用系统加固是有一定风险的，一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致，也有因为加固方案的代价分析不准确，误操作引起。因此在加固前做好系统备份是非常重要的。 （4）系统备份：备份内容包括：文件系统、关键数据、配置信息、口令、用户权限等内容；最好做系统全备份以便快速恢复。 二．加固和优化流程概述 网络与应用系统加固和优化的流程主要由以下四个环节构成： 1. 状态调查 对系统的状态调查的过程主要是导入以下服务的结果： ●? 系统安全需求分析 ●? 系统安全策略制订 ●? 系统安全风险评估(网络扫描和人工评估) 对于新建的系统而言，主要是导入系统安全需求分析和系统安全策略制订这两项服务的结果。在导入上述服务的结果后，应确定被加固系统的安全级别，即确定被加固系统所能达到的安全程度。同时，也必须在分析上述服务结果的基础上确定对网络与应用系统加固和优化的代价。 2. 制订加固方案 制订加固方案的主要内容是根据系统状态调查所产生的结果制订对系统实施加固和优化的 内容、步骤和时间表。 3. 实施加固 对系统实施加固和优化主要内容包含以下两个方面： ●? 对系统进行加固 ●? 对系统进行测试

Linux操作系统的安全性

Linux操作系统的安全性 Linux操作系统的安全性是有目共睹的，相比Windows操作系统，到底Linux有哪些过人之处？这里我们就抛砖引玉，挑选三点重要的特点给大家说明，为什么说Linux操作系统安全性有其他系统无可比拟的优越性。 1、用户/文件权限的划分 用户权限在Windows操作系统里也不陌生，但是Linux操作系统的用户权限和文件权限要比Windows操作系统里严格有效。比较明显的一个案例就是，即便是你在Windows操作系统里设置了多用户，但是不同的用户之间通过一定的方式，还是能够互访文件的，这就失去了权限的意义。 LINUX文件权限针对的对象分三类（互斥的关系）： 1. user（文件的拥有者） 2. group（文件拥有者所在的组，但不包括user） 3. other（其它用户，即user和group以外的） LINUX用一个3位二进制数对应着文件的3种权限（1表示有该权限，0表示无）： 第1位读r 100 4 第2位写w 010 2 第3位执行x 001 1 查看权限 #ls -l 第一列，一共10位（drwxrwxrwx），就代表了文件的权限： 1）第一个d代表是一个目录，如果显示“-”，则说明不是一个目录 2）2-4代表user的权限 3）5-7代表group的权限 4）8-10代表other的权限 对于后9位： r 代表可读（read），其值是4 w 代表可写（write），其值是2 x 代表可执行（execute），其值是1 - 代表没有相应权限，其值是0 修改文件权限

# chmod [ugoa][+-=][rwx] 文件名 1）用户 u 代表user g 代表group o 代表other a 代表全部的人，也就是包括u，g和o 2）行动 + 表示添加权限 - 表示删除权限 = 表示使之成为唯一的权限 3）权限 rwx也可以用数字表示法，不过很麻烦要自己算，比如rw=6 常见权限 -rw——（600）只有所有者才有读和写的权限 -rw-r——r——（644）只有所有者才有读和写的权限，组群和其他人只有读的权限-rwx——（700）只有所有者才有读，写，执行的权限 -rwxr-xr-x （755）只有所有者才有读，写，执行的权限，组群和其他人只有读和执行的权限 -rwx——x——x （711）只有所有者才有读，写，执行的权限，组群和其他人只有执行的权限 -rw-rw-rw- （666）每个人都有读写的权限 -rwxrwxrwx （777）每个人都有读写和执行的权限，最大权限。 也许你会说，Windows操作系统里不也内置了防火墙，Linux系统内置防火墙有什么特殊之处。其实，iptables不仅仅是一个防火墙，而且即便是一个防火墙，它与我们常见的Windows操作系统下的防火墙相比，更加的专业性能更强大。 iptables是与Linux内核集成的IP信息包过滤系统，如果Linux系统连接到因特网或LAN、服务器或连接LAN和因特网的代理服务器，则该系统有利于在Linux系统上更好地控制IP 信息包过滤和防火墙配置。 netfilter/iptables IP信息包过滤系统是一种功能强大的工具，可用于添加、编辑和除去规则，这些规则是在做信息包过滤决定时，防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中，而这些表集成在Linux 内核中。在信息包过滤表中，规则被分组放在我们所谓的链（chain）中。

Linu系统主机安全加固

L i n u系统主机安全加 固 SANY标准化小组 #QS8QHH-HHGX8Q8-GNHHJ8-HHMHGN#

Linux主机安全加固 V1.0 hk有限公司 二零一五年二月 一、修改密码策略 1、cp/etc/login.defs/etc/ 2、vi/etc/login.defs PASS_MAX_DAYS90（用户的密码不过期最多的天数） PASS_MIN_DAYS0（密码修改之间最小的天数） PASS_MIN_LEN8（密码最小长度） PASS_WARN_AGE7(口令失效前多少天开始通知用户更改密码) 按要求修改这几个密码选项，修改完之后保存（：wq!）退出即可。 二、查看系统是否已设定了正确UMASK值（022） 1、用命令umask查看umask值是否是022， 如果不是用下面命令进行修改： /etc/profile/etc/profile.bak vi/etc/profile 找到umask022，修改这个数值即可。 三、锁定系统中不必要的系统用户和组 1、cp/etc/passwd/etc/passwd.bak cp/etc/shadow/etc/shadow.bak 锁定下列用户 2、foriinadmlpsyncnewsuucpgamesftprpcrpcusernfsnobodymailnullgdmdo usermod- L$idone 3、检查是否锁定成功 more/etc/shadow如：lp:!*:15980:0:99999:7:::lp帐户后面有！号为已锁定。 4、禁用无关的组： 备份： cp/etc/group/etc/group.bak

linux操作系统安全

贵州大学实验报告 学院：计信学院专业：信息安全班级：信息101

2、FTP服务器的安全配置 FTP为文件传输协议，主要用于网络间的文件传输。FTP服务器的特点是采用双端口工作方式，通常FTP服务器开放21端口与客户端进行FTP控制命令传输，这称为FTP的数据连接 实 验仪器linux操作系统中的安全配置：安装red hat linux9.0操作系统的计算机 linux中Web、FTP服务器的安全配置：一台安装Windows XP/Server 2003操作系统的计算机，磁盘格式配置为NTFS,预装MBSA工具 实验步骤linux操作系统中的安全配置 一、账户和安全口令 1、查看和添加账户 （1）使用系统管理员账户root登录文本模式，输入下面的命令行：使用useradd命令新建名为myusername的新账户 （2）使用cat命令查看账户列表，输入下列命令: [root@localhost root]# cat /etc/shadow 得出列表最后的信息为：

用如下命令切换到myusername账户，然后在使用cat命令查看账户列表，如果刚才的账户添加成功，那么普通用户myusername不能查看该文件的权限，提示如下： 2、添加和更改口令 切换到root用户，添加myusername的口令： [root@localhost root]# passwd myusername 3、设置账户管理 输入命令行[root@localhost root]#chage –m 0 –M 90 –E 0 –W 10 myusername,此命

令强制用户myusername首次登陆时必须更改口令，同时还强制该用户以后每90天更改一次口令，并提前10天提示 4、账户禁用于恢复 （1）输入下列命令行，以管理员身份锁定新建的myusername账户，并出现锁定成功的提示： 此刻如果使用su切换到myusername账户，则出现以下提示： 表明锁定成功 （2）输入以下命令行，检查用户nyusername的当前状态： （3）如果要将锁定账户解锁，输入以下命令行，并出现相应的解锁提示： 5、建立用户组，将指定的用户添加到用户组中 （1）输入以下命令，建立名为mygroup的用户组： （2）如果要修改用户组的名称，使用如下命令行： 将新建的用户组更名为mygroup1 （3）输入以下命令，将用户myusername加入到新建的组mygroup1中并显示提示：

LINUX安全加固手册

LINUX安全加固手册

目录 1概述 (3) 2 安装 (3) 3 用户帐号安全Password and account security (4) 3.1 密码安全策略 (4) 3.2 检查密码是否安全 (4) 3.3 Password Shadowing (4) 3.4 管理密码 (4) 3.5 其它 (5) 4 网络服务安全(Network Service Security) (5) 4.1服务过滤Filtering (6) 4.2 /etc/inetd.conf (7) 4.3 R 服务 (7) 4.4 Tcp_wrapper (7) 4.5 /etc/hosts.equiv 文件 (8) 4.6 /etc/services (8) 4.7 /etc/aliases (8) 4.8 NFS (9) 4.9 Trivial ftp (tftp) (9) 4.10 Sendmail (9) 4.11 finger (10) 4.12 UUCP (10) 4.13 World Wide Web (WWW) – httpd (10) 4.14 FTP安全问题 (11) 5 系统设置安全(System Setting Security) (12) 5.1限制控制台的使用 (12) 5.2系统关闭Ping (12) 5.3关闭或更改系统信息 (12) 5.4 /etc/securetty文件 (13) 5.5 /etc/host.conf文件 (13) 5.6禁止IP源路径路由 (13) 5.7资源限制 (13) 5.8 LILO安全 (14) 5.9 Control-Alt-Delete 键盘关机命令 (14) 5.10日志系统安全 (15) 5.11修正脚本文件在“/etc/rc.d/init.d”目录下的权限 (15) 6 文件系统安全(File System Security) (15) 6.1文件权限 (15) 6.2控制mount上的文件系统 (16) 6.3备份与恢复 (16) 7 其它 (16) 7.1使用防火墙 (16)

UnixLinux系统的安全性概述

计算机网络安全技术题目：Unix/linux系统的安全性概述 班级：09 级达内班 组长：朱彦文学号：09700308 组员：冯鑫学号：09700310 组员：刘新亮学号：09700309 组员：梁小文学号：09700312 组员：龚占银学号：09700313 组员：高显飞学号：09700304 组员：陶志远学号：09700305 时间：2011年6月

目录 1、linux系统的介绍 (1) 2、服务安全管理 (1) 2.1、安全防护的主要内容 (1) 3、linux系统文件安全 (1) 3.1、文件相关权限的设置 (2) 3.2、SUID和SGID程序 (2) 4、用户访问安全 (2) 4.1、口令安全 (2) 4.2、登录安全 (3) 5、防火墙、IP伪装个代理服务器 (4) 5.1、什么是防火墙 (4) 5.2防火墙分类 (4) 6、服务器被侵入后的处理 (5) 7、日常安全注意事项 (5) 8、参考文献 (6)

Unix/linux系统的安全性概述 1、linux系统的介绍 Linux是一类Unix计算机操作系统的统称。Linux操作系统的内核的名字也是“Linux”。Linux操作系统也是自由软件和开放源代码发展中最著名的例子。严格来讲，Linux这个词本身只表示Linux内核，但在实际上人们已经习惯了用Linux 来形容整个基于Linux内核，并且使用GNU 工程各种工具和数据库的操作系统。Linux得名于计算机业余爱好者Linus Torvalds。Linux，其安全性漏洞已经广为流传，黑客可以很容易地侵入。而网络服务器往往储存了大量的重要信息，或向大量用户提供重要服务；一旦遭到破坏，后果不堪设想。所以，网站建设者更需要认真对待有关安全方面的问题，以保证服务器的安全。 2、服务安全管理 2.1、安全防护的主要内容 对于网站管理人员而言，日常性的服务器安全保护主要包括四方面内容： 文件存取合法性：任何黑客的入侵行为的手段和目的都可以认为是非法存取文件，这些文件包括重要数据信息、主页页面 HTML文件等。这是计算机安全最重要的问题，一般说来，未被授权使用的用户进入系统，都是为了获取正当途径无法取得的资料或者进行破坏活动。良好的口令管理 (由系统管理员和用户双方配合 )，登录活动记录和报告，用户和网络活动的周期检查都是防止未授权存取的关键。 用户密码和用户文件安全性：这也是计算机安全的一个重要问题，具体操作上就是防止 已授权或未授权的用户相互存取相互的重要信息。文件系统查帐、su登录和报告、用户意识、加密都是防止泄密的关键。 防止用户拒绝系统的管理：这一方面的安全应由操作系统来完成。操作系统应该有能力 应付任何试图或可能对它产生破坏的用户操作，比较典型的例子是一个系统不应被一个有意 使用过多资源的用户损害 (例如导致系统崩溃 )。 防止丢失系统的完整性：这一方面与一个好系统管理员的实际工作 (例如定期地备份文件系统，系统崩溃后运行 fsck检查、修复文件系统，当有新用户时，检测该用户是否可能使系统崩溃的软件 )和保持一个可靠的操作系统有关 (即用户不能经常性地使系统崩溃 )。

信息系统安全加固描述

一．安全加固概述 网络设备与操作系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务，将在客户信息系统的网络层、主机层等层次建立符合客户安全需求的安全状态，并以此作为保证客户信息系统安全的起点。 网络设备与操作系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作： ●网络设备与操作系统的安全配置； ●系统安全风险防范； ●提供系统使用和维护建议； ●安装最新安全补丁（根据风险决定是否打补丁）； 上述工作的结果决定了网络设备与操作系统加固和优化的流程、实施的内容、步骤和复杂程度。具体说，则可以归纳为： （1）加固目标也就是确定系统在做过加固和优化后，达到的安全级别，通常不同环境下的系统对安全级别的要求不同，由此采用的加固方案也不同。 （2）明确系统运行状况的内容包括: ●系统的具体用途,即明确系统在工作环境下所必需开放的端口和服务等。 ●系统上运行的应用系统及其正常所必需的服务。 ●我们是从网络扫描及人工评估里来收集系统的运行状况的。 （3）明确加固风险：网络设备与操作系统加固是有一定风险的，一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致，也有因为加固方案的代价分析不准确，误操作引起。因此在加固前做好系统备份是非常重要的。 二．加固和优化流程概述 网络设备与操作系统加固和优化的流程主要由以下四个环节构成：

1. 状态调查 对系统的状态调查的过程主要是导入以下服务的结果： ●系统安全需求分析 ●系统安全策略制订 ●系统安全风险评估(网络扫描和人工评估) 对于新建的系统而言，主要是导入系统安全需求分析和系统安全策略制订这两项服务的结果。在导入上述服务的结果后，应确定被加固系统的安全级别，即确定被加固系统所能达到的安全程度。同时，也必须在分析上述服务结果的基础上确定对网络与应用系统加固和优化的代价。 2. 制订加固方案 制订加固方案的主要内容是根据系统状态调查所产生的结果制订对系统实施加固和优化的内容、步骤。 3. 实施加固 对系统实施加固和优化主要内容包含以下两个方面： ●对系统进行加固 ●对系统进行测试 对系统进行测试的目的是检验在对系统实施安全加固后，系统在安全性和功能性上是否能够满足客户的需求。上述两个方面的工作是一个反复的过程，即每完成一个加固或优化步骤后就要测试系统的功能性要求和安全性要求是否满足客户需求；如果其中一方面的要求不能满足，该加固步骤就要重新进行。 对有些系统会存在加固失败的情况，如果发生加固失败，则根据客户的选择，要么放弃加固，要么重建系统。 4. 生成加固报告 加固报告是向用户提供完成网络与应用系统加固和优化服务后的最终报告。其中包含以下内容：

Linux系统安全

1 本章重点内容 Linux 系统安全 防火墙技术基本知识 用iptales实现包过滤型防火墙 2 8.1 计算机网络安全基础知识8.1.1 网络安全的含义 网络安全从其本质上来讲就是网络上的信息安全，其所涉及的领域相当广泛。这是因为在目前的公用通信网络中存在着各种各样的安全漏洞和威胁。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论，都是网络安全所要研究的领域。下面给出网络安全的一个通用定义： 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 因此，网络安全在不同的环境和应用中会得到不同的解释。 （1）运行系统安全，即保证信息处理和传输系统的安全。包括计算机系统机房环境的保护，法律、政策的保护，计算机结构设计上的安全性考虑，硬件系统的可靠安全运行，计算机操作系统和应用软件的安全，数据库系统的安全，电磁信息泄露的防护等。它侧重于保证系统正常的运行，避免因为系统的崩溃和损坏而对系统存储、处理和传输的信息造成破坏和损失，避免由与电磁泄漏，产生信息泄露，干扰他人（或受他人干扰），本质上是保护系统的合法操作和正常运行。 3 （2）网络上系统信息的安全。包括用户口令鉴别、用户存取权限控制、数据存取权限、方式控制、安全审计、安全问题跟踪、计算机病毒防治、数据加密等。 （3）网络上信息传播的安全，即信息传播后的安全。包括信息过滤等。它侧重于防止和控制非法、有害的信息进行传播后的后果。避免公用通信网络上大量自由传输的信息失控。它本质上是维护道德、法律或国家利益。 （4）网络上信息内容的安全，即讨论的狭义的“信息安全”。它侧重于保护信息的保密性、真实性和完整性。避免攻击者利用系统的安全漏洞进行窃听、冒充和诈骗等有损于合法用户的行为。它本质上是保护用户的利益和隐私。 计算机网络安全的含义是通过各种计算机、网络、密码技术和信息安全技术，保护在公用通信网络中传输、交换和存储信息的机密性、完整性和真实性，并对信息的传播及内容具有控制能力。网络安全的结构层次包括：物理安全、安全控制和安全服务。 可见，计算机网络安全主要是从保护网络用户的角度来进行的，是针对攻击和破译等人为因素所造成的对网络安全的威胁。而不涉及网络可靠性、信息的可控性、可用性和互操作性等领域。 48.1.2 网络安全的特征 网络安全应具有以下四个方面的特征： （1）保密性是指信息不泄露给非授权的用户、实体或过程，或供其利用的特性。 （2）完整性是指数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 （3）可用性是指可被授权实体访问并按需求使用的特性，即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。 （4）可控性是指对信息的传播及内容具有控制能力。 8.1.3 对网络安全的威胁 与网络连通性相关的有三种不同类型的安全威胁： （1）非授权访问（Unauthorized Access ）指一个非授权用户的入侵。（2）信息泄露（Disclosure of Information ）指造成将有价值的和高度机密的信息暴露给无权访问该信息的人的所有问题。 （3）拒绝服务（Denial of Service ）指使系统难以或不能继续执行任务的所有问题。 5 8.1.4 网络安全的关键技术 从广义上讲，计算机网络安全技术主要有：（1）主机安全技术：（2）身份认证技术：（3）访问控制技术：（4）密码技术：（5）防火墙技术：（6）安全审计技术：（7）安全管理技术： 8.1.5 Linux 系统的网络安全策略 1．简介 6 随着Internet／Intranet网络的日益普及，采用Linux网络操作系统作为服务器的用户也越来越多，这一方面是因为Linux是开放源代码的免费正版软件，另一方面也是因为较之微软的Windows NT网络操作系统而言，Linux系统具有更好的稳定性、效率性和安全性。在Internet／Intranet的大量应用中，网络本身的安全面临着重大的挑战，随之而来的信息安全问题也日益突出。以美国为例，据美国联邦调查局（FBI）公布的统计数据，美国每年因网络安全问题所造成的经济损失高达75亿美元，而全球平均每20秒钟就发生一起Internet计算机黑客侵入事件。一般认为，计算机网络系统的安全威胁主要来自黑客攻击和计算机病毒2个方面。那么黑客攻击为什么能够经常得逞呢？主要原因是很多人，尤其是很多网络管理员没有起码的网络安全防范意识，没有针对所用的网络操作系统，采取有效的安全策略和安全机制，给黑客以可乘之机。 由于网络操作系统是用于管理计算机网络中的各种软硬件资源，实现资源共享，并为整个网络中的用户提供服务，保证网络系统正常运行的一种系统软件。如何确保网络操作系统的安全，是网络安全的根本所在。只有网络操作系统安全可靠，才能保证整个网络的安全。因此，详细分析Linux 系统的安全机制，找出可能存在的安全隐患，给出相应的安全策略和保护措施是十分必要的。

风管加固规范

风管加固规范 加固，指对可靠性不足或业主要求提高可靠度的承重结构、构件及其相关部分采取增强、局部更换或调整其内力等措施，使其具有现行设计规范及业主所要求的安全性、耐久性和适用性。工业上主要进行的加固有粘钢加固、碳纤维加固、压力注浆加固、植筋加固、锚栓加固、钢管桩加固、等。 规范标准 《建筑结构加固工程施工质量验收规范》 《混凝土结构加固设计规范》 《工程结构加固材料安全性鉴定技术规范》 《砌体结构补强加固技术规范》 《建筑抗震设计规范》 《建筑抗震鉴定标准》 《建筑抗震加固技术规程》 《双曲拱桥加固改造技术规程》 粘钢加固 基本概念 混凝土粘钢加固技术，是采用优质JGN建筑结构胶，把钢板与混凝土牢固地粘在一起，形成复合的整体结构，有效地传递应力形成

整体联合协调工作，从而恢复或提高结构的承载能力与结构的强度和钢度。 特点 1、对构件进行有针对性地补强 2、与砼构件具备较广泛的类似力学性能指标 3、抗老化、抗疲劳性能好 ⒋建筑结构胶要通过抗冲击剥离韧性检测 碳纤维 基本概念 碳纤维布加固修复混凝土结构技术是采用配套胶粘剂将碳纤维布粘贴于混凝土表面，起到结构补强和抗震加固的作用。广泛适用于建筑物梁、板、柱、墙的加固，并可用于桥梁、隧道等其它土木工程的加固补强。粘贴纤维织物(布)复合材加固法即用改性环氧树脂粘贴各种符合国标GB50367-2013规定的碳纤维单向织物布复合材，S玻璃布，(玄武岩布)，E玻璃纤维单向织物布及GB/T221491-2008规定的芳纶布，芳玻韧布复合材料。 优点

具有粘贴钢板相似的优点外，还具有耐腐蚀、耐潮湿、几乎不增加结构自重、耐用、维护费用较低等优点，但需要专门的防火处理，适用于各种受力性质的混凝土结构构件和一般构筑物。 压力注浆 压力注浆主要解决基础不均匀沉降的问题。 裂缝修补 混凝土结构裂缝修补加固 植筋技术 "植筋"技术又称钢筋生根技术，在原有混凝土结构上钻孔，注结构胶，把新的钢筋旋转插入孔洞中。此技术广泛用于设计变更，增加梁、柱、悬挑梁、板等加固和变更工程。 1、各种设备基础的锚固。 2、加大基础承台。 3、各种建筑结构的钢筋埋植与锚栓锚固。 4、悬挑梁、板等结构功能改变。 5、铁路、铁轨的锚固。 6、幕强安装锚固及化工设备、管道、广告牌等的安装锚固。 7、水利设施，码头，公路，护坡，桥梁等工程的各种锚固。

加强Linux系统安全的几大技巧

加强Linux系统安全的几大技巧 导读:计算机系统一旦被恶意软件攻击，就存在泄漏隐私数据的风险，除了使用安全杀毒软件外，还有做一些必要的安全防护措施，下面小编就给大家介绍下如何保护Linux系统的安全。 1. 使用SELinux SELinux是用来对Linux进行安全加固的，有了它，用户和管理员们就可以对访问控制进行更多控制。SELinux为访问控制添加了更细的颗粒度控制。与仅可以指定谁可以读、写或执行一个文件的权限不同的是，SELinux可以让你指定谁可以删除链接、只能追加、移动一个文件之类的更多控制。（LCTT译注：虽然NSA 也给SELinux贡献过很多代码，但是目前尚无证据证明SELinux有潜在后门）2禁用不用的服务和应用 通常来讲，用户大多数时候都用不到他们系统上的服务和应用的一半。然而，这些服务和应用还是会运行，这会招来攻击者。因而，最好是把这些不用的服务停掉。（LCTT译注：或者干脆不安装那些用不到的服务，这样根本就不用关注它们是否有安全漏洞和该升级了。） 3 订阅漏洞警报服务 安全缺陷不一定是在你的操作系统上。事实上，漏洞多见于安装的应用程序之中。为了避免这个问题的发生，你必须保持你的应用程序更新到最新版本。此外，订阅漏洞警报服务，如SecurityFocus。 4 使用Iptables Iptables是什么？这是一个应用框架，它允许用户自己为系统建立一个强大的防火墙。因此，要提升安全防护能力，就要学习怎样一个好的防火墙以及怎样使用Iptables框架。 5 检查系统日志 你的系统日志告诉你在系统上发生了什么活动，包括攻击者是否成功进入或试着访问系统。时刻保持警惕，这是你第一条防线，而经常性地监控系统日志就是为了守好这道防线。 6 考虑使用端口试探 设置端口试探（Port knocking）是建立服务器安全连接的好方法。一般做法

HP-Unix主机操作系统加固规范

HP-Unix主机操作系统加固规范 1 账号管理、认证授权 1.1 账号 1.1.1 SHG-HP-UX-01-01-01 编号 SHG-HP-UX-01-01-01 名称为不同的管理员分配不同的账号 实施目的根据不同类型用途设置不同的帐户账号，提高系统安全。 问题影响账号混淆，权限不明确，存在用户越权使用的可能。 系统当前状态 cat /etc/passwd 记录当前用户列表 实施步骤 1、参考配置操作 为用户创建账号： #useradd username #创建账号 #passwd username #设置密码 修改权限： #chmod 750 directory #其中755为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录) 使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。 回退方案删除新增加的帐户 判断依据标记用户用途，定期建立用户列表，比较是否有非法用户 实施风险高 重要等级★★★ 备注 1.1.2 SHG-HP-UX-01-01-02 编号 SHG-HP-UX-01-01-02 名称删除或锁定无效账号 实施目的删除或锁定无效的账号，减少系统安全隐患。 问题影响允许非法利用系统默认账号 系统当前状态 cat /etc/passwd 记录当前用户列表，cat /etc/shadow 记录当前密码配置实施步骤参考配置操作 删除用户：#userdel username; 锁定用户： 1) 修改/etc/shadow文件，用户名后加*LK* 2) 将/etc/passwd文件中的shell域设置成/bin/false 3) #passwd -l username 只有具备超级用户权限的使用者方可使用，#passwd -l username锁定用户,用#passwd –d username解锁后原有密码失效，登录需输入新密码，修改/etc/shadow能保留原有密码。 回退方案新建删除用户 判断依据如上述用户不需要，则锁定。 实施风险高 重要等级★★★ 备注