linux系统 安全整改

1.备份 /etc 文件夹 和 /home等目录
mkdir /backup 
tar -cPpf /backup/etc20170526.bak.tar /etc
还原 tart 
tar ——overwrite -xpf /backup/home.bak.tar -C /

2.修改用户名密码
http://jingyan.baidu.com/article/9989c7463a3f22f649ecfe6c.html
whoami
passwd

3.修改用户过期策略
http://blog.csdn.net/xiegh2014/article/details/52595695
vi /etc/login.defs
针对新用户
PASS_MAX_DAYS   90
PASS_MIN_DAYS   0
PASS_MIN_LEN    9
PASS_WARN_AGE   15

chage -M 90 root
chage -W 15 root

chage -l root

3.1复杂度校验；
修改/etc/pam.d/system-auth，在password使用pam_cracklib.so设置的最后对应加一下
password requisite pam_cracklib.so minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1


是否有如下参数（X为锁定次数，该参数需手动添加）account required /lib/security/pamtally.so deny=5 no_magic_root reset 
上面2条都是在etc/pam.d/system-auth里设置
自己参考的：http://blog.sina.com.cn/s/blog_605f5b4f01013l9s.html
http://www.lingzhong.cn/tech/22733.htm

向导：http://blog.csdn.net/xyz846/article/details/26585399 
https://wenku.baidu.com/view/411ba45a4b73f242336c5fdd.html

4.登录失败锁定处理
http://www.landui.com/help/show-2789.html
vim /etc/pam.d/login  


在#%PAM-1.0下面添加：
auth required pam_tally2.so deny=5 unlock_time=180 #登录失败5次锁定180秒，不包含root
auth required pam_tally2.so deny=5 unlock_time=1800 even_deny_root root_unlock_time=1800 #包含root


5.修改root用户名
root2017
http://www.xker.com/page/e2017/0131/262022.html
参考：http://blog.csdn.net/a1154490629/article/details/52190801


/etc/passwd中一行记录对应着一个用户，每行记录又被冒号(:)分隔为7个字段，其格式和具体含义如下： 
用户名:口令:用户标识号:组标识号:注释性描述:主目录:登录Shell


vi /etc/passwd
修改第1行第1个root为新的用户名
按esc键退出编辑状态，并输入:x保存并退出
vi /etc/shadow
修改第1行第1个root为新的用户名
按esc键退出编辑状态，并输入:x!强制保存并退出
为了正常使用sudo，需要修改/etc/sudoers的设置，修改方法如下(来自How to add users to /etc/sudoers)：
运行visudo
找到root ALL=(ALL) ALL
在下面添加一行：新用户名 ALL=(ALL) ALL
:x保存退出



6.开启审计进程auditd

vim /etc/audit/auditd.conf
max_log_file=50
max_log_file_action=KEEP_LOGS
service auditd start


http://blog.chinaunix.net/uid-17238776-id-4904716.html


7.定期备份 /var/log/audit/ 下的日志
两个月移动一下文件夹内所有东西
crontab -e


00 01 01 */2 * /bin/bash /backup/bakaudit.sh

mkdir /backup/audit

touch bakaudit.sh

文件夹只所有文件移动到另外一个文件夹中


#!/bin/sh
tempdir=audit`date +%Y-%m-%d_%H%M%S`
mkdir /backup/audit/$tempdir
mv /var/log/audit/* /backup/audit/$tempdir
/sbin/service auditd restart


移动完以后要重新启动auditd，否则后面日志好像不生成了
chmod +x /backup/bakaudit.sh




8.自动更新补丁
https://linux.cn/article-8015-1.html?utm_source=weixin
https://www.androiddev.net/centos-auto-update/


9.设置ssh连接超时时间


 (以秒为单位) 
echo export TMOUT=600 >> /root/.bash_profile  
cat /root/.bash_profile
source .bash_profile
cp /etc/ssh/sshd_config /etc/ssh/sshd_config_bak
echo ClientAliveInterval=60 >> /etc/ssh/sshd_config
service sshd restart
cat /etc/ssh/sshd_config
service sshd restart
exit


http://bristol.blog.51cto.com/1004110/1567390


10.装杀毒软件 Clamav
http://115.com/1000018516/T1232213.html
http://www.iyunv.com/thread-237251-1-1.html



11.远程SSH服务器配置为使用Arcfour流密码或根本没有密码

RFC 4253建议不要使用arc4，因为该算法存在安全缺陷，存在被攻击者破解的风险。

Ciphers    aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se

加到/etc/ssh/sshd_config

Linux ~]# tar [-cxtzjvfpPN] 文件与目录 ....
参数：
-c ：建立一个压缩文件的参数指令(create 的意思)；
-x ：解开一个压缩文件的参数指令！
-t ：查看 tarfile 里面的文件！
特别注意，在参数的下达中， c/x/t 仅能存在一个！不可同时存在！
因为不可能同时压缩与解压缩。
-z ：是否同时具有 gzip 的属性？亦即是否需要用 gzip 压缩？
-j ：是否同时具有 bzip2 的属性？亦即是否需要用 bzip2 压缩？
-v ：压缩的过程中显示文件！这个常用，但不建议用在背景执行过程！
-f ：使用档名，请留意，在 f 之后要立即接档名喔！不要再加参数！
　　　例如使用『 tar -zcvfP tfile sfile』就是错误的写法，要写成
　　　『 tar -zcvPf tfile sfile』才对喔！
-p ：使用原文件的原来属性（属性不会依据使用者而变）
-P ：可以使用绝对路径来压缩！
-N ：比后面接的日期(yyyy/mm/dd)还要新的才会被打包进新建的文件中！
--exclude FILE：在压缩的过程中，不要将 FILE 打包！