首页 » 系统安全 » Linux/Unix » Centos » 正文

Centos 常见安全配置

1、软件版本及升级策略

操作系统内核及各应用软件,默认采用较新的稳定版本,不建议开启自动更新功能。

2、账户及口令管理

2.1 远程登录帐号管理

符合以下条件之一的,属”可远程登录帐号”:

(1) 设置了密码,且帐号处于未锁定状态。

(2) 在$HOME/.ssh/authorized_keys放置了public key

“可远程登录帐号”的管理要求为:

(1) 帐号命名格式与邮件命名格式保持一致

(2) 不允许多人共用一个帐号,不允许一人有多个帐号。

(3) 每个帐号均需有明确的属主,离职人员帐号应当天清除。

(4) 特殊帐号需向安全组报批

2.2 守护进程帐号管理

守护进程启动帐号管理要求

(1) 应建立独立帐号,禁止赋予sudo权限,禁止加入root或wheel等高权限组。

(2) 禁止使用”可远程登录帐号”启动守护进程

(3) 禁止使用root帐号启动WEB SERVER/DB等守护进程。

2.3 系统默认帐号管理(仅适用于财务管理重点关注系统)

删除默认的帐号,包括:lp,sync,shutdown, halt, news, uucp, operator, games, gopher等

2.4 口令管理

口令管理应遵循《密码口令管理制度》,具体要求为

(1) 启用密码策略

/etc/login.defs PASS_MAX_DAYS 90 PASS_MIN_DAYS 0 PASS_MIN_LEN 7 PASS_WARN_AGE 7 /etc/pam.d/system-auth password sufficient pam_unix.so ** remember=5 password requisite pam_cracklib.so ** minlen=7 lcredit=1 ucredit=1 dcredit=1 ocredit=0 

(2) 启用帐号锁定策略,连续输错3次口令,锁定用户30分钟

/etc/pam.d/system-auth auth required pam_env.so auth required pam_tally2.so deny=3 lock_time=1800
2.5 OpenSSH安全配置

只使用协议版本2,禁止root登录,禁止空口令登录,独立记录日志到/var/log/secure。具体配置为:

/etc/ssh/sshd_config #default is 2,1 Protocol 2 #default is yes PermitRootLogin no #default is no PermitEmptyPasswords no #default is AUTH SyslogFacility AUTHPRIV

3 认证授权

3.1 远程管理方式

(1) 默认仅允许ssh一种远程管理方式,禁止使用telnet、rlogin等,如存在以下文件,必须删除:

$HOME/.rhosts
/etc/hosts.equiv
/etc/xinetd.d/rsh
/etc/xinetd.d/rlogin

(2) 跳板机只允许RSA TOKEN方式登录,其它Linux服务器只允许通过密码和public key方式登录。

(3) 生产环境Linux服务器,只允许来自跳板机和其它指定IP的登录,通过tcp warp实现。生产环境范围由安全组指定,允许登录的IP源由安全组指定。BETA/DEV环境具体登录限制策略待定。

3.2 其它(仅适用于财务管理重点关注系统)

(1) 仅允许非wheel组用户通过远程管理,配置方法:

/etc/security/access.conf
-:wheel:ALL EXCEPT LOCAL .win.tue.nl

/etc/pam.d/sshd
account    required     pam_access.so

(2) 限制普通用户控制台访问权限

禁止普通用户在控制台执行shutdown、halt以及reboot等命令。

rm -f /etc/security/console.apps/reboot
rm -f /etc/security/console.apps/halt
rm -f /etc/security/console.apps/shutdown
rm -f /etc/security/console.apps/poweroff

4 其它

4.1 关键文件权限(仅适用于财务管理重点关注系统)

 将以下文件设置为600权限

/$HOME/.bash_logout
/$HOME/.bash_profile
/$HOME/.bashrc
4.2 日志管理

开启以下行为日志:用户登录日志、crontab执行日志

配置方法:

/etc/syslog.conf

authpriv.*                  /var/log/secure
cron.*                      /var/log/cron
4.3 用户界面TIMEOUT

设置用户30分钟无操作自动退出。设置方法:

/etc/profile

TMOUT=1800
4.4 设置NTP时间同步,确保各服务器时间保持一致
4.5 禁止安装/运行不必要的服务

当前禁止安装/运行的服务列表为

nfs
samba
telnet
rsh-server

发表评论